Pelajaran Berharga dari Kasus Pembobolan Data Uber

Pelajaran Berharga dari Kasus Pembobolan Data Uber
Seorang pengendara Uber motor menunggu penumpang di salah satu pusat perbelanjaan di Jakarta. REUTERS/Darren Whiteside
Reporter: Ahmad Zaenudin
22 November, 2017 dibaca normal 3:30 menit
Data-data Uber dan Yahoo sama-sama pernah jadi sasaran peretas, tapi kedua perusahaan punya cara berbeda menghadapinya.
tirto.id - Kasus peretasan kembali menimpa jagat perusahaan teknologi. Setelah Yahoo mengalami skandal pembobolan pada September tahun lalu, kini perusahaan teknologi ride sharing, Uber mengalami kejadian serupa.

Dalam laporan Bloomberg, Uber terkena serangan peretasan terhadap data pribadi 50 juta pengguna dan 7 juta pengemudi Uber. Data-data itu mencakup nama, nomor telepon, email, serta 600 ribu nomor SIM pengemudi mereka, raib digondol peretas.


CEO Uber Dara Khosrowshahi membenarkan kesialan yang menimpa perusahaannya.

“Informasi pribadi 57 juta pengguna Uber di seluruh dunia, termasuk data pengemudi. Informasi ini meliputi nama, alamat email dan nomor telepon seluler [...] Para ahli forensik eksternal yang kami libatkan untuk menelusuri insiden ini tidak melihat adanya data mengenai lokasi perjalanan, nomor kartu kredit, nomor akun bank, nomor jaminan sosial atau tanggal lahir yang terunduh,” kata Khosrowshahi dalam surat keterangan pers yang diterima Tirto.

“Meskipun kami belum melihat adanya bukti akan penipuan dan penyalahgunaan terkait insiden ini, kami tetap melakukan pemantauan terhadap akun yang terkena dampak dan memberikan proteksi ekstra terhadap akun-akun tersebut,” katanya.

Buntut dari kabar peretasan ini, Jaksa Agung New York, Eric Schneiderman, langsung memulai upaya penyelidikan. Aksi peretasan yang menimpa Uber itu tak terjadi dalam beberapa hari ini.

Peretasan yang menggondol 57 juta data pribadi itu, terjadi hampir 13 bulan atau sejak Oktober 2016. Ini artinya, peretasan yang menimpa Uber sudah terjadi sebelum kepemimpinan Khosrowshahi, saat itu Uber dipimpin oleh Travis Kalanick. Berdasarkan laporan Bloomberg, Kalanick mengetahui kasus yang menimpa perusahaannya.


Sayangnya, alih-alih segera melapor pada pihak berwajib, serta memberitahu pengguna dan pengemudinya, Uber memilih untuk membayar tebusan senilai $100 ribu pada peretas. Uang yang bila dirupiahkan kurang lebih Rp1,3 miliar agar membungkam peretas menghapus data yang berhasil mereka curi dan tidak membocorkan informasi apapun tentang aksi mereka. Saat itu, Uber lebih memilih menutup rapat-rapat insiden itu.

Dalam rilis yang diterima, Khosrowshahi, CEO Uber pengganti Kalanick bertanya-tanya tentang pilihan kebijakan di masa Kalanick. “Anda mungkin bertanya-tanya, mengapa kami baru membahas ini sekarang, setelah setahun berlalu. Saya memiliki pertanyaan yang sama, dan karena itu saya segera minta diadakan investigasi yang seksama mengenai apa yang terjadi dan bagaimana kami menanganinya,” kata Khosrowshahi.

Pilihan Uber untuk menutup mulut tragedi yang menimpanya, sangat mungkin berbuntut panjang. Ini terutama terkait para pengguna maupun pengemudi yang identitasnya bocor dan tak segera mendapatkan pengamanan hukum oleh aparat.

"Jika Uber tahu (aksi peretasan yang menimpanya) dan (memilih) menutupi dan tidak memberi tahu FTC (Federal Trade Commission), itu menjadi pintu pada masalah berikutnya, (pilihan ini) bisa berujung masalah pidana," ucap Williams McGeveran, profesor hukum privasi data University of Minnesota Law School, memberikan keterangannya pada Wired.

“Jika semua ini benar (memilih membayar peretas daripada melaporkan), itu bisa diartikan sebagai pernyataan palsu terhadap penyidik. Kamu (seharusnya) dilarang berbohong pada penyidik dalam proses menyelesaikan permasalahan,” tambahnya.

Peretasan yang dialami perusahaan sekelas Uber, tentu mengundang tanya. Namun, Khosrowshahi menjelaskan bahwa peretasan yang terjadi hampir setahun lampau dilakukan oleh dua orang penjahat siber yang menyerang sistem pihak ketiga yang dipakai Uber.

“Kami menemukan adanya dua oknum dari luar perusahaan yang secara ilegal mengakses data pengguna kami yang tersimpan di layanan berbasis cloud dari perusahaan pihak ketiga yang kami gunakan. Insiden ini tidak berdampak pada sistem atau infrastruktur dari perusahaan kami,” katanya.

Dalam laporan yang diunggah Bloomberg, dua peretas itu sukses membobol data pengguna maupun pengemudi Uber selepas mereka sukses merasuk pada GitHub, layanan repositori source code online, yang digunakan para programer Uber. Dari GitHub itu, dua orang peretas sukses memperoleh data untuk masuk ke Amazon Web Service (AWS), layanan cloud computing, yang Uber gunakan menyimpan data para penggunanya. Selepas membobol, para peretas dilaporkan meminta tebusan yang kemudian dipenuhi oleh Uber.

Meskipun mengundang kontroversi, penempatan informasi penting pada GitHub, merupakan hal yang lumrah dilakukan programer. Ini dilakukan untuk memudahkan mereka dalam mengembangkan suatu sistem. Sayangnya, tindakan demikian sangat berisiko terutama bagi perusahaan sekelas Uber.

“(Praktik menyimpan informasi rahasia suatu sistem) sangat biasa dilakukan di GitHub. (Sayangnya) ini bukanlah lingkungan yang ramah,” ucap Jeremiah Grossman, peneliti keamanan web SentinelOne pada Wired.

Pelajaran Berharga dari Kasus Pembobolan Data Uber

Bukan yang Pertama


Merujuk sejarahnya, bukan kali ini saja Uber mengalami musibah peretasan. Pada Mei 2014 lalu, perusahaan itu pun terkena masalah yang sama. Merujuk pemberitaan Forbes, kala itu peretas sukses mencuri 50 ribu data pengemudi Uber yang berdomisili di Amerika Serikat. Pencurian, pada Mei itu hanya mencakup nama serta nomor SIM pengemudi Uber, tak termasuk data pengguna Uber. 

Sayangnya, jumlah 50 ribu data pengemudi itu kemudian dianulir oleh FTC yang melakukan penyelidikan pada Agustus 2017. FTC mengatakan bahwa Uber kebobolan 100 ribu data pengemudinya. Meningkat dua kali lipat dibandingkan klaim pertama Uber.

"Peretas mengakses satu file yang berisi informasi pribadi yang dimiliki oleh pengemudi Uber, termasuk lebih dari 100.000 nama dan nomor SIM yang tidak dienkripsi, 215 nama dan rekening bank dan rute domestik pengemudi yang tidak terenkripsi, serta 84 nama dan nomor jaminan sosial yang tidak terenkripsi," kata FTC.

Mirip seperti kasus yang baru terungkap publik pekan ini, pembobolan yang terjadi di 2014 itu baru diinformasikan pada khalayak pada Februari 2015 atau selepas 9 bulan kejadian terjadi.

Selain kesamaan soal ditutup-tutupinya kasus peretasan, teknik bagaimana peretas memperoleh data pengemudi Uber pun sama. Pada kejadian di 2014 lalu itu peretas sukses membobol data pengemudi Uber selepas sukses merasuk pada layanan AWS yang dipakai Uber. Ini terjadi selepas terlebih dahulu mereka memperoleh informasi AWS di akun GitHub milik Uber.

Tentu, aksi pencurian data pengguna di dunia teknologi tak hanya dialami Uber. Rekor jumlah data yang dicuri, sampai saat ini, masih dipegang oleh Yahoo. Pada Desember 2016 lalu terungkap bahwa 1 miliar data pengguna Yahoo, seperti nama, alamat email, nomor telepon, tanggal lahir, dan juga password, sukses dicuri peretas.

Sebelumnya, pada September 2016, Yahoo mengalami nasib serupa. Pada saat itu, Yahoo kebobolan 500 juta data penggunanya.

Namun, berbeda dengan tindakan Uber, Yahoo saat mengetahui data penggunanya dibobol peretas, mereka mengirimkan peringatan pada setiap pengguna Yahoo yang terdampak. Yahoo pun menggandeng pihak berwajib AS menanggulangi dan mencari tahu penyebab data pengguna mereka bobol.

Keterbukaan perusahaan teknologi bila mengalami masalah seperti pembobolan justru lebih baik daripada mencoba menutupinya. Persoalan peretasan tentu bukan hanya soal citra buruk perusahaan tapi nasib keamanan data para pengguna.

Baca juga artikel terkait TRANSPORTASI ONLINE atau tulisan menarik lainnya Ahmad Zaenudin
(tirto.id - zae/dra)

Keyword