Eks Karyawan Startup Jadi Target Peretas: Bagaimana Data Anda Bisa Dicuri dari Domain yang Sudah Tidak Aktif?

Dalam dunia keamanan siber, mantan karyawan startup yang terkena pemutusan hubungan kerja (PHK) dari perusahaan yang telah tutup menjadi target utama bagi para peretas. Peneliti keamanan siber menemukan bahwa data pribadi mereka, termasuk informasi sensitif seperti nomor Jaminan Sosial dan rekening bank, berisiko dicuri melalui aplikasi seperti Slack dan layanan cloud lainnya.

Dylan Ayrey, CEO dan salah satu pendiri Truffle Security, perusahaan yang didukung oleh Andreessen Horowitz, mengungkapkan temuan ini pada konferensi keamanan ShmooCon. Dalam presentasinya, Ayrey menjelaskan bagaimana kelemahan pada teknologi Google OAuth—yang memungkinkan login menggunakan akun Google—bisa dimanfaatkan peretas untuk mengakses data sensitif.

Ayrey menyoroti bahwa peretas dapat membeli domain dari startup yang sudah tidak aktif. Domain ini kemudian digunakan untuk mendapatkan akses ke berbagai perangkat lunak cloud yang sebelumnya digunakan oleh perusahaan tersebut, seperti aplikasi obrolan, platform kolaborasi, hingga sistem sumber daya manusia (SDM). Melalui aplikasi ini, para peretas dapat menemukan direktori perusahaan yang memuat alamat email mantan karyawan.

Setelah menguasai domain dan email-email tersebut, para penjahat siber dapat menggunakan fitur "Masuk dengan Google" untuk mengakses berbagai aplikasi cloud yang terhubung. Dari sini, mereka sering kali mendapatkan lebih banyak informasi tentang karyawan, termasuk data sensitif seperti nomor Jaminan Sosial, informasi perbankan, dan data lainnya yang disimpan dalam sistem SDM cloud.

Untuk membuktikan ancamannya, Ayrey melakukan uji coba dengan membeli domain dari startup yang gagal. Dengan domain tersebut, ia berhasil masuk ke beberapa layanan populer seperti ChatGPT, Slack, Notion, Zoom, dan sistem SDM yang memuat informasi pribadi karyawan. Menurutnya, data dari sistem SDM adalah yang paling berharga bagi peretas karena mudah dimonetisasi.

Namun, Ayrey menekankan bahwa akun Gmail pribadi atau Google Docs yang dibuat oleh karyawan di luar ekosistem perusahaan tetap aman dari ancaman ini. Google juga mengonfirmasi bahwa data yang tidak terhubung langsung dengan domain perusahaan tidak terpengaruh.

Startup yang tutup menjadi target ideal bagi peretas karena banyak dari mereka menggunakan layanan Google dan aplikasi berbasis cloud untuk menjalankan operasional bisnis. Hal ini meningkatkan risiko terhadap puluhan ribu mantan karyawan serta jutaan akun perangkat lunak SaaS lainnya. Dalam penelitiannya, Ayrey menemukan sekitar 116.000 domain dari perusahaan rintisan yang gagal saat ini tersedia untuk dijual, menjadikannya peluang besar bagi peretas.

Ayrey menegaskan pentingnya perusahaan mengambil langkah-langkah proaktif untuk melindungi data karyawan, bahkan setelah perusahaan tutup. Selain itu, mantan karyawan juga disarankan untuk selalu memperbarui kredensial keamanan dan memeriksa apakah data mereka terhubung ke domain perusahaan lama.

Temuan ini menjadi peringatan bagi semua pihak, baik perusahaan maupun individu, untuk lebih waspada terhadap ancaman keamanan siber. Dengan banyaknya data sensitif yang beredar di platform cloud, ancaman seperti ini bisa berdampak besar pada privasi dan keamanan finansial pengguna.