Penyedia sistem informasi siswa (SIS) K-12 terkemuka di Amerika Serikat, Infinite Campus, telah mengeluarkan peringatan kebocoran data kepada para pelanggannya. Peringatan keamanan ini muncul menyusul adanya upaya pemerasan yang dilakukan oleh sebuah kelompok peretas (threat actor) yang mengklaim telah mencuri data dari internal perusahaan.
Eksploitasi Akun Salesforce dan Tenggat Waktu Tebusan
Dalam pemberitahuan yang dikirimkan kepada pelanggan, Infinite Campus menjelaskan bahwa peretas berhasil mengakses akun layanan Salesforce milik salah seorang karyawan mereka.
Kelompok peretas pemeras yang dikenal luas dengan nama ShinyHunters mengklaim bertanggung jawab atas serangan ini. Mereka telah mengunggah “peringatan terakhir” di situs dark web mereka, mengancam akan membocorkan seluruh data yang diklaim berhasil dicuri jika pihak Infinite Campus tidak segera menghubungi mereka untuk bernegosiasi terkait pembayaran tebusan selambat-lambatnya pada 25 Maret.
ShinyHunters mengklaim bahwa mereka telah mencuri rekam data dari Salesforce yang berisi Informasi Identitas Pribadi (PII) serta berbagai data internal korporat. Menanggapi ancaman ini, pihak Infinite Campus mengambil sikap tegas dengan menyatakan bahwa mereka tidak akan meladeni tuntutan maupun bernegosiasi dengan kelompok peretas tersebut.
Bantahan Perusahaan Atas Skala Kebocoran Data
Infinite Campus adalah perusahaan teknologi pendidikan (EdTech) raksasa yang menyediakan layanannya ke lebih dari 3.200 distrik sekolah di AS, mengelola data milik sekitar 11 juta siswa yang tersebar di 46 negara bagian.
Berdasarkan hasil investigasi internal perusahaan, tidak ada basis data pelanggan maupun data siswa yang berhasil diakses atau ditembus oleh peretas. Infinite Campus memastikan bahwa data yang terekspos mayoritas hanyalah informasi direktori yang pada dasarnya sudah tersedia secara publik.
“Target mereka adalah instansiasi Salesforce Infinite Campus, yang terdiri dari nama dan informasi kontak staf sekolah; sebagian besar adalah informasi direktori yang biasa ditemukan di situs web sekolah,” jelas perusahaan dalam pemberitahuannya.
Langkah Mitigasi dan Rekam Jejak Penyerang
Merespons insiden ini, Infinite Campus telah menonaktifkan sejumlah layanan yang berhadapan langsung dengan pelanggan bagi pengguna tanpa pembatasan alamat IP (IP address restrictions). Langkah pencegahan ini diambil guna meminimalkan risiko tereksposnya data sensitif di kemudian hari. Di saat yang bersamaan, perusahaan juga tengah memindai seluruh data Salesforce yang mungkin telah dikompromikan dan secara aktif menghubungi distrik sekolah yang terdampak untuk memberikan panduan lebih lanjut.
Meskipun Infinite Campus tidak menyebutkan nama ShinyHunters secara eksplisit dalam peringatannya, perusahaan mendeskripsikan penyusup tersebut sebagai “bagian dari kelompok yang dikenal kerap menargetkan akun Salesforce di ratusan perusahaan.”
Sepanjang tahun lalu, kelompok ShinyHunters memang tercatat gencar menargetkan pelanggan Salesforce. Mereka mengklaim telah membobol ratusan perusahaan dan mencuri lebih dari 1,5 miliar rekam data melalui peretasan Salesloft Drift dan kampanye eksploitasi Aura baru-baru ini.