Kisah Aksi Hacking Perusahaan Univeler, Temukan Bergiga-giga Data



Kisah hacking yang benar-benar nyata bak film dan dikemukakan sendiri oleh sang hacker, Sijmen Ruwhof. Ditulis secara menarik di blog pribadinya di http://sijmen.ruwhof.net/weblog/

Sijmen menuturkan pengalamannya menjadi dosen tamu di Universitas Ilmu Terapan Windesheim di Belanda selama seminggu. Dia menjadi dosen tamu untuk mata kuliah IT Security dan Hacking. Salah satu dari mahasiswanya kebetulan sedang magang di perusahaan Unilever (induk perusahaan Unilever Indonesia yang memproduksi Lifebuoy, Kecap Bango, Citra, Rinso, Sunsilk dll).


Sijmen menggunakan fasilitas dari Shodan (http://shodan.io), search engine yang mengkhususkan diri sebagai search engine dari semua devais IoT (Internet of Things) di dunia sekarang. Diluar dugaan, hasil dari shodan menunjukkan satu IoT yang ternyata menjadi database dari Unilever.


Data yang dimuat pada mesin tersebut mencapai 13,2 Giga! Database yang digunakan adalah MongoDB. Dan seperti dugaan sang hacker, MongoDB yang dipakai masih rentan dengan Zero Day exploit tahun lalu yang fenomenal itu. Sijmen pun melanjutkan aksinya diluar kelas IT Security itu dan mendapati bahwa dia bisa terkoneksi ke database server tersebut tanpa password!

Semua hal private ada di server tersebut, ada 37 database yang berisi sejumlah nama, email dan log chat dari karyawan Unilever.

Kisah inipun dilanjutkan oleh Sijmen dengan memeriksa kembali hasil pencarian search engine Shodan. Dia mendapati hasil yang lebih besar lagi. Ada server MySQL yang accessible darimanapun sepanjang terkoneksi dengan internet. Server MySQL 5.6.21 yang dipakai oleh mereka memang mendapat banyak Bug Keamanan tahun lalu. Dan sesuai tebakan, Servernya nggak di update! Ada sekitar 13 database dan total 156,6 Gigabyte data yang bisa dibobol!

Sijmen pun meneruskan dan mengakses HAProxy dari Unilever dan mampu melihat status dari semua server yang dikelola load balancer ini. Akhirnya, mengakhiri penelitan keamananya, Sijmen menemukan pemilik dan pengelola server-server Unilever tersebut yaitu Savvy Congress dan Droisys terkait vulnerabilities di MongoDB dan beberapa server milik mereka.

Edit: meskipun tidak melakukan aksi penetrasi dan metode hacking sebenarnya (not too complicated) bahkan bisa dikatakan ketiban pulung (red: kejatuhan rejeki nomplok) karena menemukan server perusahaan yang tidak diproteksi dan disetting dengan baik, setidaknya kisah Sijmen ini bisa diambil pelajarannya.

Semoga bisa diambil pelajaran. Baca kisah lengkapnya disini, http://sijmen.ruwhof.net/weblog/937-how-i-found-a-huge-data-leak-of-a-company-during-a-college-lecture



Share on Google Plus

About WarnabiruTV

This is a short description in the author block about the author. You edit it by entering text in the "Biographical Info" field in the user admin panel.
    Blogger Comment

6 comments:

  1. wanjer servernya rentan bener :v
    salut dehh ama penemu tuh bug biar cepet di fix :D
    nice post gan nambah ilmu wkwkwk

    ReplyDelete
    Replies
    1. pelajaran untuk tidak main-main nyetting server produksi gan

      Delete
  2. He's not hacking their databases. The databases was unprotected and set as public. He used a public dataset to expose a poorly secured supposedly ‘dev’ only non-production set of data. That 'thing' can be done without any complicated method. But thanks to him, to show us the method. Before you write an article based on other resource, be sure you read whole article.

    Regards.
    Hmei3369. I'm not hmei07.

    ReplyDelete