Jakarta - Perusahaan layanan online Uber mengalami kebocoran data yang masif. Peretas yang mengaku sebagai pemuda berusia 18 tahun itu, berhasil mengakses beberapa aplikasi internal penting Uber, mulai dari Slack, Google Workplace, AWS, sampai financial dashboard.

Menurut pengakuan peretas kepada VX Underground, keberhasilannya menerobos sistem Uber berawal dari social engineering ke salah satu karyawan Uber. 

Sang peretas mengirimkan pesan teks dengan mengaku sebagai salah satu orang IT Uber, dan meminta akses username dan password karyawan tersebut. 

Karyawan tersebut ternyata terjebak, dan peretas pun berhasil masuk ke sistem Uber lewat VPN. Setelah itu, peretas melakukan scanning ke seluruh jaringan internal Uber. 

Selanjutnya, ia menemukan sebuah powershell script berisi username dan password admin untuk Thycotic (sebuah software access management). Dengan modal itu, ia pun berhasil mengakses aplikasi penting yang digunakan Uber.

Untuk membuktikan keberhasilannya, peretas mengirimkan beberapa tangkapan layar dari aplikasi internal Uber untuk menunjukan akses yang diperoleh. 

Salah satunya adalah dashboard finansial Uber, berisi pengeluaran Travel and Entertainment sebesar US$60,9 juta. 

Informasi detail, seperti top spender dan nama karyawan, juga terlihat di cuplikan layar tersebut.

Sang peretas juga berhasil masuk ke akun Slack Uber, dan mengirimkan pesan teks yang meledek Uber (seperti menuntut Uber menaikkan upah untuk pengemudi). 

Uber sendiri mengakui adanya insiden cyber security ini dan sedang bekerja keras untuk melakukan langkah mitigasi. 

Sebagai langkah pencegahan, Uber telah menonaktifkan Slack dan beberapa sistem internal mereka.

Kepada New York Times, sang peretas mengaku sebagai pemuda 18 tahun dan telah mengembangkan keterampilan keamanan sibernya selama beberapa tahun.

Ia mengatakan telah membobol sistem keamanan Uber, karena perusahaan memiliki sistem keamanan yang lemah. 

Seperti yang diketahui, Uber sendiri pernah mengalami kasus kebocoran data pada tahun 2016. Peretas mencuri informasi dari 57 juta data akun pengemudi dan penumpang. 

Diketahui, peretas tersebut meminta dana sebesar 100 ribu dolar AS kepada Uber, untuk menghapus data yang diperolehnya. 

Uber dilaporkan telah melakukan pembayaran tersebut namun merahasiakan selama lebih dari setahun. (mg6/ree)