NurPhoto / Kontributor / Getty Images
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
**Poin Penting ZDNET**
Kelompok peretas mengklaim telah mencuri 1 miliar catatan data dari basis data Salesforce.
Perusahaan besar seperti Google, Qantas, dan TransUnion mengonfirmasi kebocoran data.
FBI menyatakan penyerang menggunakan vishing, bukan kerentanan di Salesforce.
Sebuah kelompok peretas mengklaim telah mencuri sekitar 1 miliar catatan data dari puluhan perusahaan yang menyimpan data pelanggan mereka di basis data cloud yang dihosting di Salesforce. Para peretas dilaporkan membuat sebuah situs di dark web, yang telah dilihat oleh peneliti keamanan dan TechCrunch. Situs tersebut mencantumkan perusahaan-perusahaan korban dan mengancam akan merilis data yang dicuri jika tidak dibayar.
Siapa Dalang Serangan Ini?
Kampanye ini dikaitkan dengan aliansi kejahatan siber baru bernama Scattered Lapsus$ Hunters, yang menyatukan anggota dari Scattered Spider, Lapsus$, dan ShinyHunters — tiga kelompok peretas berbahasa Inggris paling terkenal yang aktif saat ini.
Kelompok ini diduga menyusup ke basis data cloud yang digunakan oleh banyak perusahaan di platform Salesforce dan mencuri data pelanggan dalam jumlah besar. Menurut TechCrunch, mereka mengklaim memegang total sekitar 1 miliar catatan. Di situs mereka, mereka memposting peringatan yang meminta perusahaan untuk “menghubungi kami untuk mendapatkan kembali kendali… dan mencegah pengungkapan publik data Anda.”
Juga: Serangan siber pencurian data melonjak – 7 cara melindungi diri dan bisnis Anda
Resecurity melaporkan bahwa Scattered Lapsus$ Hunters juga mengoperasikan saluran Telegram, yang sekarang dilarang, tempat para anggota mengoordinasikan ancaman, mengunggah bocoran data, dan mempromosikan alat Ransomware-as-a-Service baru. Scattered Spider dilaporkan menyediakan akses awal ke target, ShinyHunters mengelola pencurian dan pembuangan data, dan anggota LAPSUS$ juga berpartisipasi, dengan ketiga kelompok bekerja sama dalam kampanye-kampanye terkenal seperti pelanggaran basis data Salesforce.
Perusahaan Mana Saja yang Terdampak?
Beberapa perusahaan baru-baru ini mengonfirmasi bahwa peretas mencuri data pelanggan dari basis data berbasis Salesforce mereka.
Berikut adalah daftar insiden yang telah dikonfirmasi sejauh ini.
Raksasa asuransi Allianz Life mengonfirmasi pelanggaran yang mempengaruhi sebagian besar dari 1,4 juta pelanggan AS-nya.
Grup Intelijen Ancaman Google mengakui adanya kebocoran data berbasis Salesforce.
Konglomerat barang mewah Kering mengonfirmasi pelanggaran serupa.
Qantas mengungkapkan bahwa sekitar 5,7 juta catatan pelanggan terdampak.
Pembuat mobil Stellantis mengakui “insiden data pihak ketiga.”
Biro kredit TransUnion mengungkapkan data 4,4 juta konsumen AS terbuka.
Workday mengakui bahwa data pelanggannya dicuri.
TechCrunch menyatakan bahwa situs bocoran perets juga menyebut merek besar lain seperti FedEx, Hulu, dan Toyota, tetapi mereka belum memberikan komentar publik.
Bagaimana Dampaknya bagi Anda?
Jika Anda adalah pelanggan dari salah satu perusahaan yang terlibat, data pribadi Anda mungkin telah terbuka dalam pelanggaran ini. Data tersebut bisa mencakup nama, alamat email, nomor telepon, dan dalam beberapa kasus, nomor Jaminan Sosial.
Juga: Terkena serangan siber, Salesforce hadapi masalah kepercayaan – dan gugatan kelas potensial
Allianz Life menyatakan bahwa pelanggarannya, yang mempengaruhi 1,4 juta orang, termasuk detail sensitif seperti nomor Jaminan Sosial. Perusahaan tersebut menawarkan layanan pemantauan pencurian identitas dan kredit gratis selama dua tahun kepada mereka yang terdampak. Biro kredit TransUnion juga melaporkan bahwa data pribadi milik 4,4 juta pelanggan — termasuk nama dan nomor Jaminan Sosial — terbuka.
Perlu untuk meninjau pemberitahuan dari masing-masing perusahaan untuk melihat jenis data apa yang dicuri dan cara memeriksa apakah Anda terdampak.
Bagaimana Cara Peretas Menyusup?
Pada 12 September, FBI mengeluarkan peringatan FLASH tentang pelaku ancaman yang telah mendapatkan akses awal ke akun Salesforce organisasi. Dinyatakan bahwa mereka menggunakan taktik rekayasa sosial seperti voice phishing (atau vishing). Peneliti keamanan Google menjelaskan bagaimana seorang peretas memalsukan diri sebagai personel dukungan IT melalui telepon untuk mendapatkan akses ke basis data Salesforce, misalnya.
Juga: Apa itu vishing? Voice phishing melonjak – kiat ahli untuk mendeteksi dan menghentikannya
Setelah para penyerang memiliki kredensial login yang valid, mereka dapat menggunakan alat ekspor data milik Salesforce sendiri untuk menarik informasi dalam jumlah besar. Dengan kata lain, penyerang memanfaatkan kesalahan manusia, bukan kerentanan di Salesforce itu sendiri.
Apakah Platform Salesforce Bermasalah?
Salesforce menyatakan tidak, platform mereka tidak disusupi oleh serangan-serangan ini.
Meskipun para perets menyebut nama Salesforce di situs bocoran mereka — pada dasarnya menuntut Salesforce untuk bernegosiasi atau semua “data pelanggan Anda akan dibocorkan,” seperti dilaporkan TechCrunch — Salesforce mempertahankan bahwa infrastrukturnya tidak langsung disusupi.
Juga: Penjahat siber mencuri data Salesforce bisnis dengan trik sederhana ini – jangan tertipu
Dalam pernyataan publik, Salesforce mengonfirmasi bahwa mereka “menyadari upaya pemerasan baru-baru ini,” tetapi sejauh ini, tidak ada indikasi bahwa platform Salesforce telah disusupi, dan aktivitas ini “tidak terkait dengan kerentanan yang diketahui dalam teknologi kami.”
Semua bukti mengarah pada para penyerang yang menyalahgunakan kredensial yang dicuri dan memalsukan identitas pengguna melalui vishing untuk masuk ke basis data, alih-alih meretas sistem Salesforce. Salesforce menyatakan telah bekerja sama dengan perusahaan-perusahaan yang terdampak untuk memberikan dukungan.
Pernahkah Kita Menyaksikan Pemerasan Seperti Ini Sebelumnya?
Sayangnya, ya — skenario ini terlalu familier. Laporan Ancaman Global 2025 ke-11 CrowdStrike, misalnya, menemukan bahwa serangan vishing meningkat 442% pada paruh kedua 2024 dibandingkan dengan paruh pertama. Sepanjang tahun tersebut, perusahaan itu melacak setidaknya enam kampanye terpisah di mana penyerang menyamar sebagai staf IT dan menelepon karyawan di berbagai organisasi.
Juga: Seseorang gunakan AI untuk memalsukan menteri – cara memastikan Anda bukan berikutnya
CrowdStrike menyatakan perusahaan dapat memperkuat pertahanan terhadap vishing dengan mewajibkan verifikasi yang lebih ketat untuk pengaturan ulang kata sandi, seperti autentikasi video dan identitas pemerintah, dan dengan melatih staf meja bantu untuk mengenali permintaan mencurigakan, terutama yang di luar jam kerja normal. Mereka juga menyarankan penggunaan metode autentikasi lanjutan seperti FIDO2 dan menjaga sistem selalu diperbarui dengan tambalan keamanan.
Dapatkan berita utama setiap pagi di kotak masuk Anda dengan newsletter Tech Today kami.