GORONTALO — Serangan siber terhadap Klue, perusahaan riset pasar asal Kanada, berubah menjadi drama berlapis. Setelah geng hacker Icarus membobol sistem pada 12 Juni lalu dan mencuri data pelanggan, kini muncul kelompok peretas kedua yang mengaku memiliki data tersebut dan mengancam akan membocorkannya jika tidak dibayar tebusan.
Dua Geng Hacker, Satu Target: Data Pelanggan Klue
Dalam pembaruan yang dibagikan secara tertutup kepada pelanggan pada Kamis malam, Klue menyatakan masih berkomunikasi dengan Icarus. Menurut perusahaan, Icarus mengaku sedang menghapus data curian dan situs mereka saat ini tidak bisa diakses. "Kami memiliki indikasi bahwa Icarus benar-benar mengambil langkah untuk menghapus data," tulis Klue dalam pernyataan yang dilihat TechCrunch.
Namun, ketenangan itu tidak berlangsung lama. Icarus memberi tahu Klue bahwa ada geng peretas lain yang kini mencoba memeras langsung para pelanggan. Kelompok tanpa nama ini telah membuat situs sendiri dan memajang daftar 195 perusahaan yang disebut sebagai korban Klue. Mereka mengklaim mengambil data tersebut langsung dari server Icarus, bukan dari sistem Klue.
Motif di Balik Serangan: Kesalahan Remaja?
Dalam situs tersebut, para peretas kedua menulis pesan bernada ancaman, "Bayar tebusan atau kami akan bocorkan semuanya." Mereka juga menuduh Klue telah membayar Icarus, yang disebut sebagai operator remaja yang tinggal di Inggris atau negara sekitarnya. TechCrunch belum bisa memverifikasi klaim ini secara independen.
Menurut kelompok tersebut, seorang operator Icarus melakukan kesalahan yang memungkinkan mereka terhubung ke server tempat data curian disimpan. Klue sendiri membantah telah membayar tebusan dan meminta pelanggannya untuk tidak melayani permintaan tebusan dari kelompok kedua ini.
Daftar Perusahaan Terdampak dan Modus Serangan
Sejumlah perusahaan besar telah mengonfirmasi terdampak, di antaranya Gong, Jamf, HackerOne, Huntress, Insurity, LastPass, OneTrust, Recorded Future, ReliaQuest, Snyk, Sprout Social, dan Tanium. Klue menjelaskan bahwa peretas masuk dengan memanfaatkan kredensial pihak ketiga dari tahun 2022 yang merupakan bagian dari proyek uji coba terbatas. Dari akses itu, mereka mencuri token otentikasi OAuth untuk masuk ke cloud dan database pelanggan.
Klue belum memberikan detail lebih lanjut soal kredensial yang bocor itu, seperti siapa pemiliknya atau mengapa tidak pernah dicabut selama empat tahun. Perusahaan menyarankan pelanggan yang dihubungi kelompok kedua untuk meminta sampel data acak sebagai bukti bahwa peretas benar-benar memegang data mereka.
Apa yang Harus Dilakukan Pelanggan Klue?
Bagi perusahaan yang menjadi klien Klue, langkah pertama adalah memverifikasi apakah data mereka benar-benar diambil. Klue menegaskan bahwa kelompok kedua hanya memiliki sampel data untuk sebagian pelanggan, bukan seluruh data. Perusahaan juga mengingatkan agar tidak melakukan pembayaran tebusan kepada pihak mana pun sebelum ada konfirmasi resmi.
Insiden ini menjadi pengingat bahwa rantai serangan siber bisa melibatkan lebih dari satu aktor, dan data yang sudah "dihapus" sekalipun belum tentu aman. Para pelanggan disarankan segera merotasi kredensial dan mengaktifkan autentikasi multi-faktor jika belum melakukannya.
