Organisasi yang mewakili semua pengacara di Singapura atau kerap disebut ‘Law Society of Singapore’ mengalami serangan ransomware. Setelah ditelusuri, serangan itu berasal dari kerentanan (bug) pada VPN yang dipakai anggota organisasi.
Serangan itu pertama kali terjadi pada 27 Januari 2021 dan membahayakan data pribadi lebih dari 16.000 anggota. Peretas (hacker) menggunakan bug di layanan VPN untuk mendapatkan akses ke data pribadi para korban.
Investigasi yang dilakukan Komisi Perlindungan Data Pribadi Singapura (PDPC) juga menemukan Law Society https://meja138apk.com/ of Singapore bersalah karena menggunakan kata sandi (password) yang mudah ditebak. Selain itu, organisasi juga gagal melakukan tinjauan keamanan berkala yang diwajibkan oleh Undang-undang.
Organisasi itu diberikan waktu 60 hari untuk menyelesaikan audit internal dan memperbaiki bug yang belum juga ditambal (patched), demikian dikutip dari TechRadar, Rabu (17/5/2023).
Meskipun banyak informasi pribadi anggota termasuk nama lengkap, alamat tempat tinggal, dan tanggal lahir yang bocor, Wakil Komisaris PDPC Zee Kin Yeong menyimpulkan bahwa, “tidak ada bukti adanya penyalahgunaan data pribadi anggota. Organisasi tersebut juga segera mengambil tindakan perbaikan sebagai tanggapan atas insiden tersebut,” ujar Zee dalam laporan Channel News Asia.
Perangkat lunak antivirus perusahaan mendeteksi serangan itu dan dengan cepat menghapus akun yang digunakan untuk menyuntikkan malware, sambil memulihkan server pada sistem pencadangan data (backup).
Organisasi Singapura Dituntut Gegara Pakai Password Lemah
Penyedia VPN Fortinet yang digunakan oleh Law Society of Singapore mengatakan telah memberitahu kliennya soal kerentanan VPN pada 24 Mei 2019. Namun, tidak ada pembaruan untuk memperbaiki bug sebelum serangan terjadi.
Tak cuma itu, PDPC menemukan Law Society of Singapore melanggar Pasal 24 Undang-Undang Perlindungan Data Pribadi karena gagal memenuhi beberapa kewajibannya.
Secara khusus, organisasi bersalah karena menggunakan kata sandi yang lemah -“Welcome2020lawsoc”- untuk akun yang diretas. Lebih buruk lagi, ini digunakan selama lebih dari 90 hari ketika Undang-undang mengharuskan ini diubah setiap tiga bulan sebagai persyaratan minimum.
Law Society of Singapore juga dinyatakan bersalah karena tidak melakukan tinjauan keamanan selama tiga tahun sebelum penyerangan. Organisasi tersebut mengaku tengah berbenah diri untuk memperkuat sistem keamanannya.
“Dalam 2 tahun terakhir sejak insiden tersebut, kami telah mengambil sejumlah langkah proaktif untuk meningkatkan infrastruktur keamanan siber kami,” kata organisasi tersebut dalam pernyataan resmi.
“Itu termasuk menerapkan autentikasi multi-faktor untuk semua akses VPN dan memperkuat tim TI internal kami untuk menangani masalah keamanan siber.”