Pelanggaran data MoveIt tidak terdeteksi selama lebih dari setahun di serikat kredit ini

Pada hari Senin, Texas Dow Employees Credit Union, atau TDECU, diakui secara publik bahwa perusahaan tersebut mengalami pelanggaran data yang berdampak pada lebih dari 500.000 orang, menambah daftar lebih dari 60 bank dan koperasi kredit yang menjadi korban kerentanan dalam sistem transfer berkas MoveIt milik Progress Software.

Pengakuan itu tidak biasa mengingat waktunya. Geng ransomware Cl0p mulai mengeksploitasi kerentanan di MoveIt pada 27 Mei 2023, dan Progress Software memberi tahu pelanggan dan mengeluarkan patch empat hari kemudian. Sementara banyak korban institusional menemukan bahwa mereka terkena dampak pelanggaran MoveIt dalam waktu satu bulan, TDECU mengatakan bahwa mereka tidak mengetahui tentang pelanggaran tersebut hingga 30 Juli tahun ini.

“Setelah mendapat informasi mengenai kerentanan tersebut, TDECU segera mengambil tindakan” untuk menilai dan mengurangi kerusakan, menurut sebuah surat koperasi kredit tersebut mengirim surat kepada para korban, “Setelah penyelidikan kami, kami menemukan pada tanggal 30 Juli 2024, bahwa berkas-berkas tertentu yang berisi informasi pribadi anggota TDECU berpotensi dihapus dari MoveIt oleh pelaku kejahatan antara tanggal 29-31 Mei 2023.”

Menurut pernyataan publik serikat kredit, data yang terkena dampak meliputi nama lengkap dikombinasikan dengan tanggal lahir, nomor Jaminan Sosial, nomor rekening bank atau keuangan, nomor kartu kredit dan debit, SIM atau tanda pengenal pemerintah, dan Nomor Pokok Wajib Pajak.

Lembaga yang menjadi korban pelanggaran data dapat membutuhkan waktu berbulan-bulan dan bahkan bertahun-tahun untuk menyadari bahwa mereka telah terkena dampaknya. Dalam salah satu pelanggaran data MoveIt terbesar, Flagstar Bank baru memberi tahu nasabah pada bulan Oktober (empat bulan setelah Progress Software menghubungi nasabah) bahwa mereka terkena dampak pelanggaran.

Kasus Flagstar tidak biasa karena bank tersebut tidak menggunakan perangkat lunak MoveIt pada saat itu. Sebaliknya, penjahat dunia maya mencuri data pelanggan Flagstar dari perusahaan fintech dan pembayaran Fiserv, yang merupakan pengguna MoveIt dalam kasus tersebut.

Sebaliknya, TDECU menggunakan perangkat lunak MoveIt secara langsung, menurut surat kepada para korban, sehingga ia akan diposisikan untuk menerima komunikasi dari Progress Software tentang kerentanan MoveIt.

Selain itu, pelanggaran yang memengaruhi anggota TDECU sangat besar dibandingkan dengan ukuran lembaga yang terpengaruh. Di situs webnya, serikat kredit tersebut mengatakan serikat kredit ini memiliki 387.000 anggota; bandingkan dengan 500.474 orang yang terkena dampak pelanggaran, menurut serikat kredit tersebut penyingkapan kepada jaksa agung Maine.

Meskipun terdapat faktor-faktor ini, butuh waktu 14 bulan bagi lembaga tersebut untuk menemukan terjadinya pelanggaran data.

TDECU tidak menanggapi permintaan komentar.

Sering kali ketika penjahat dunia maya mencuri data, mereka akan memberi tahu organisasi korban secara langsung tentang hal itu, sebagai cara memeras uang dalam bentuk mata uang kripto. Ini adalah modus operandi Cl0p, sebuah kelompok yang biasanya mengoperasikan ransomware tetapi dalam kasus ini mengeksploitasi kerentanan MoveIt untuk sekadar mencuri (bukan juga mengenkripsi) data.

Dalam kasus ini, kejadiannya sedikit berbeda. Alih-alih menghubungi korban secara langsung, Cl0p membuat ratusan posting terpisah di situsnya yang mempermalukan korban, satu untuk setiap korban institusional yang diklaimnya. Untuk setiap korban, geng tersebut mengatakan tidak akan memposting data yang dicurinya, selama institusi tersebut menghubungi dan menegosiasikan pembayaran pemerasan.

Cl0p tampaknya mengambil rute ini sebagai masalah kenyamanan. Geng tersebut mencuri begitu banyak data dari begitu banyak institusi pada saat yang sama — dengan satu perkiraan2.773 organisasi dan 95,7 juta individu — yang tidak mau repot-repot menjangkau para korban satu per satu.