Mengapa Cyber Insurance Kini Bergantung pada Identity Security dan MFA, Bukan Sekadar Firewall

Perusahaan asuransi siber dan regulator kini semakin berfokus pada keamanan identitas digital sebagai indikator utama dalam menilai risiko keamanan organisasi. Perubahan ini terjadi seiring meningkatnya jumlah serangan siber yang memanfaatkan akun karyawan yang telah dikompromikan. Data terbaru menunjukkan bahwa satu dari tiga serangan siber kini melibatkan kredensial pengguna yang berhasil dicuri atau disalahgunakan, menjadikan identity security sebagai salah satu faktor paling kritis dalam evaluasi risiko dan penentuan premi cyber insurance.

Perubahan ini mencerminkan realitas operasional di mana akun pengguna, bukan kerentanan perangkat lunak, sering menjadi titik masuk utama bagi penyerang. Setelah mendapatkan akses ke satu akun, penyerang dapat bergerak secara lateral, meningkatkan hak akses, dan mempertahankan keberadaan mereka dalam jaringan tanpa terdeteksi. Bagi perusahaan asuransi, kemampuan organisasi untuk mencegah atau membatasi dampak kompromi akun menjadi indikator langsung dari potensi kerugian finansial yang mungkin timbul akibat insiden keamanan.

Pentingnya keamanan identitas dalam penilaian cyber insurance juga dipicu oleh meningkatnya biaya pelanggaran data secara global. Pada tahun 2025, rata-rata biaya pelanggaran data mencapai $4,4 juta, mendorong lebih banyak organisasi untuk mencari perlindungan finansial melalui cyber insurance. Di Inggris, tingkat adopsi cyber insurance meningkat dari 37 persen pada tahun 2023 menjadi 45 persen pada tahun 2025. Namun, peningkatan klaim yang diajukan juga memaksa perusahaan asuransi untuk memperketat standar underwriting mereka, dengan fokus khusus pada kontrol keamanan identitas.

Dalam konteks ini, identity posture atau postur keamanan identitas organisasi menjadi parameter utama. Identity posture mencakup berbagai aspek, termasuk praktik pengelolaan password, implementasi multi-factor authentication (MFA), serta pengelolaan akun dengan hak akses tinggi atau privileged accounts. Faktor-faktor ini membantu menentukan seberapa mudah penyerang dapat meningkatkan hak akses setelah mendapatkan kredensial awal.

Salah satu aspek penting yang mendapat perhatian khusus adalah password hygiene. Meskipun banyak organisasi mulai mengadopsi MFA dan metode autentikasi tanpa password, password tetap menjadi komponen inti dalam sistem autentikasi modern. Praktik seperti penggunaan ulang password di berbagai akun meningkatkan risiko secara signifikan. Jika satu password berhasil dicuri, penyerang dapat mencoba menggunakannya di berbagai sistem lain untuk memperluas akses mereka.

Masalah lain yang sering ditemukan adalah keberadaan akun lama yang tidak lagi digunakan tetapi masih aktif. Akun dormant ini sering luput dari pengawasan, namun tetap memiliki kredensial valid dan hak akses tertentu. Bagi penyerang, akun semacam ini merupakan titik masuk ideal karena kecil kemungkinan aktivitasnya terdeteksi. Demikian pula, service account dengan password yang tidak pernah kedaluwarsa menciptakan jalur akses jangka panjang yang sulit dilacak.

Selain itu, penggunaan kredensial administratif yang dibagikan di antara beberapa pengguna juga meningkatkan risiko. Praktik ini mengurangi akuntabilitas dan membuat investigasi insiden menjadi lebih sulit. Dari perspektif asuransi, organisasi yang tidak dapat menunjukkan kontrol ketat terhadap kredensial administratif dianggap memiliki risiko lebih tinggi.

Pengelolaan privileged access juga menjadi indikator penting dalam penilaian risiko. Akun dengan hak administratif memiliki kemampuan untuk mengakses sistem kritis, mengubah konfigurasi, dan membaca data sensitif. Jika akun semacam ini dikompromikan, dampaknya dapat meluas dengan cepat ke seluruh infrastruktur organisasi. Oleh karena itu, perusahaan asuransi mengevaluasi bagaimana organisasi mengontrol dan memantau akun privileged, termasuk administrator domain, administrator cloud, dan service account dengan hak akses tinggi.

Masalah umum yang sering ditemukan adalah pemberian hak akses administratif permanen yang tidak diperlukan. Hak akses yang berlebihan memperbesar kemungkinan privilege escalation, di mana penyerang dapat memperoleh kontrol penuh atas sistem hanya dengan mengompromikan satu akun. Dari perspektif underwriting, risiko meningkat secara signifikan jika satu akun yang dikompromikan dapat dengan cepat memperoleh hak administrator tanpa hambatan tambahan.

Implementasi multi-factor authentication juga menjadi faktor penentu dalam evaluasi cyber insurance. MFA menambahkan lapisan keamanan tambahan dengan mengharuskan pengguna memberikan bukti autentikasi tambahan selain password. Namun, efektivitas MFA bergantung pada konsistensi implementasinya. Banyak organisasi mengklaim telah mengimplementasikan MFA, tetapi tidak menerapkannya secara menyeluruh pada semua sistem kritis.

Kasus nyata yang mencerminkan pentingnya MFA terjadi pada City of Hamilton, yang dilaporkan tidak menerima klaim cyber insurance sebesar $18 juta setelah serangan ransomware karena MFA tidak diterapkan secara penuh pada sistem yang terdampak. Insiden ini menunjukkan bahwa keberadaan MFA saja tidak cukup; implementasi harus mencakup semua sistem penting, termasuk akses jarak jauh, email, dan akun administratif.

Meskipun MFA bukan solusi sempurna, mekanisme ini secara signifikan meningkatkan tingkat kesulitan bagi penyerang. Serangan seperti MFA fatigue tetap memerlukan kredensial valid sebagai langkah awal, dan keberhasilan serangan tersebut bergantung pada kesalahan pengguna dalam menyetujui permintaan autentikasi yang mencurigakan. Tanpa kredensial awal, serangan semacam ini tidak dapat dilakukan.

Perusahaan asuransi kini secara khusus mencari bukti bahwa MFA diterapkan pada semua akun dengan hak akses tinggi dan sistem kritis. Organisasi yang gagal memenuhi standar ini sering menghadapi premi yang lebih tinggi atau pembatasan cakupan asuransi. Hal ini mencerminkan pergeseran dalam pendekatan manajemen risiko, di mana kontrol identitas dianggap sebagai garis pertahanan utama.

Selain MFA dan password hygiene, perusahaan asuransi juga menilai praktik audit akses secara berkala. Audit ini membantu memastikan bahwa hak akses pengguna sesuai dengan peran mereka saat ini. Akses yang tidak lagi relevan, seperti hak administratif yang diberikan kepada karyawan yang telah berpindah peran, meningkatkan risiko keamanan.

Perubahan dalam pendekatan underwriting ini menunjukkan bahwa keamanan identitas bukan lagi sekadar masalah teknis, tetapi juga faktor finansial. Kemampuan organisasi untuk menunjukkan kontrol identitas yang kuat dapat secara langsung mempengaruhi premi cyber insurance yang mereka bayar. Organisasi dengan kontrol identitas yang matang cenderung dianggap memiliki risiko lebih rendah, yang dapat menghasilkan premi yang lebih rendah dan cakupan yang lebih luas.

Bagi organisasi, implikasinya jelas. Keamanan identitas kini menjadi komponen inti dalam strategi manajemen risiko. Pengelolaan kredensial, implementasi MFA yang komprehensif, dan kontrol ketat terhadap akun privileged tidak hanya melindungi sistem dari serangan, tetapi juga mempengaruhi bagaimana risiko organisasi dinilai oleh pihak eksternal.

Perubahan ini juga mencerminkan evolusi lanskap ancaman siber. Penyerang semakin fokus pada eksploitasi identitas karena metode ini sering lebih efektif daripada mengeksploitasi kerentanan teknis. Dengan menggunakan kredensial yang valid, penyerang dapat menghindari banyak mekanisme deteksi tradisional.

Sebagai respons, perusahaan asuransi menyesuaikan model risiko mereka untuk mencerminkan realitas ini. Alih-alih hanya mengevaluasi kontrol keamanan jaringan tradisional, mereka kini memprioritaskan keamanan identitas sebagai indikator utama ketahanan organisasi terhadap serangan siber.

Bagi organisasi yang ingin mengurangi risiko dan mendapatkan perlindungan asuransi yang optimal, fokus pada keamanan identitas menjadi semakin penting. Praktik seperti rotasi password secara berkala, pembatasan hak akses administratif, dan implementasi MFA secara menyeluruh bukan lagi sekadar rekomendasi keamanan, tetapi telah menjadi persyaratan operasional yang mempengaruhi stabilitas finansial organisasi.

Perkembangan ini menandai pergeseran fundamental dalam cara risiko keamanan siber dinilai dan dikelola. Identity security kini berada di pusat strategi keamanan modern, bukan hanya sebagai mekanisme perlindungan teknis, tetapi sebagai faktor utama dalam menentukan bagaimana organisasi dilihat oleh perusahaan asuransi dan regulator.

Investigasi Citizen Lab Ungkap Dugaan Penyalahgunaan Cellebrite dan Predator untuk Mengawasi Aktivis.

Penelitian terbaru dari Citizen Lab kembali memicu perdebatan global tentang penyalahgunaan teknologi forensik digital oleh aparat negara. Unit riset interdisipliner yang berbasis di Munk School of Global Affairs & Public Policy, University of Toronto, menemukan indikasi kuat bahwa otoritas Kenya menggunakan alat ekstraksi forensik komersial untuk mengakses data dari ponsel seorang aktivis terkemuka. Kasus ini menambah daftar panjang dugaan penggunaan teknologi investigasi untuk menargetkan masyarakat sipil.

Perangkat yang menjadi sorotan adalah milik Boniface Mwangi, aktivis pro-demokrasi Kenya yang telah mengumumkan rencana mencalonkan diri sebagai presiden pada 2027. Menurut laporan tersebut, alat ekstraksi digital buatan perusahaan Israel, Cellebrite, digunakan terhadap ponsel Samsung miliknya ketika perangkat tersebut berada dalam tahanan polisi setelah penangkapannya pada Juli 2025. Analisis forensik menunjukkan dengan tingkat keyakinan tinggi bahwa teknologi tersebut dioperasikan sekitar 20 hingga 21 Juli 2025.

Ponsel itu dikembalikan hampir dua bulan kemudian, pada September 2025. Namun ada perubahan mencolok: perangkat tidak lagi dilindungi kata sandi dan dapat dibuka tanpa autentikasi. Temuan teknis mengindikasikan bahwa proses ekstraksi kemungkinan memungkinkan pengambilan seluruh isi perangkat, mulai dari pesan pribadi, dokumen sensitif, file pribadi, informasi keuangan, hingga kredensial dan kata sandi. Jika benar demikian, maka dampaknya jauh melampaui sekadar pelanggaran privasi, karena menyentuh aspek keamanan personal dan politik seorang tokoh publik.

Kasus di Kenya bukanlah insiden terisolasi. Bulan sebelumnya, laporan terpisah dari peneliti yang sama mengungkap dugaan penggunaan teknologi serupa oleh otoritas di Yordania terhadap aktivis dan pembela hak asasi manusia yang mengkritik Israel serta menyuarakan dukungan bagi warga Palestina di Gaza. Perangkat mereka disita selama proses penahanan dan interogasi antara akhir 2023 hingga pertengahan 2025 sebelum akhirnya dikembalikan. Pola ini memperlihatkan bagaimana teknologi forensik digital dapat digunakan dalam konteks yang sensitif secara politik.

Menanggapi temuan tersebut, juru bicara Cellebrite menyatakan kepada The Guardian bahwa teknologinya dirancang untuk mengakses data privat hanya sesuai proses hukum yang berlaku atau dengan persetujuan yang sah guna membantu investigasi setelah suatu peristiwa terjadi. Namun, laporan-laporan ini menambah akumulasi bukti yang menunjukkan adanya potensi penyalahgunaan oleh klien pemerintah di berbagai negara.

Perkembangan ini juga bersinggungan dengan ekosistem pengawasan digital yang lebih luas, termasuk penggunaan spyware komersial seperti Pegasus dan Predator. Dalam laporan terpisah, Amnesty International menemukan bukti bahwa iPhone milik Teixeira Cândido, seorang jurnalis dan advokat kebebasan pers asal Angola, berhasil ditargetkan oleh Predator pada Mei 2024 setelah ia membuka tautan infeksi yang dikirim melalui WhatsApp.

Saat itu perangkat menjalankan iOS 16.2, versi sistem operasi yang sudah usang dan memiliki celah keamanan yang diketahui publik. Meski eksploitasi spesifik yang digunakan belum teridentifikasi, infeksi tersebut memberi penyerang akses penuh tanpa batas terhadap perangkat korban. Laporan tambahan dari Recorded Future sebelumnya juga mencatat dugaan operasi Predator di Angola sejak 2024, menjadikan kasus ini sebagai konfirmasi forensik pertama penggunaan spyware tersebut terhadap masyarakat sipil di negara itu.

Infeksi pada perangkat Cândido berlangsung kurang dari satu hari dan terhapus ketika ponsel dihidupkan ulang pada malam 4 Mei 2024. Namun, antara 4 Mei hingga 16 Juni 2024, tercatat 11 upaya lanjutan untuk menginfeksi ulang perangkat melalui tautan berbahaya baru. Upaya-upaya ini gagal, kemungkinan karena tautan tidak dibuka. Fakta ini menunjukkan persistensi dan adaptasi operator dalam mencoba kembali mengeksploitasi target yang sama.

Analisis teknis dari perusahaan keamanan ofensif Prancis, Reverse Society, menggambarkan Predator sebagai produk spyware komersial yang dirancang untuk penyebaran jangka panjang dan andal. Operator dapat mengaktifkan atau menonaktifkan modul tertentu sesuai aktivitas target, sehingga pengawasan dapat dikendalikan secara real-time. Lebih lanjut, spyware ini dilengkapi mekanisme anti-analisis yang tidak terdokumentasi, termasuk sistem pelaporan crash untuk tujuan anti-forensik serta teknik hooking pada SpringBoard guna menyembunyikan indikator perekaman ketika mikrofon atau kamera diaktifkan.

Peneliti dari Jamf Threat Labs menyoroti bahwa sistem kode kesalahan pada Predator memberi operator visibilitas granular terhadap kegagalan penyebaran, memungkinkan mereka menyesuaikan pendekatan terhadap target tertentu. Dengan kata lain, kegagalan infeksi bukanlah akhir dari operasi, melainkan sumber data diagnostik yang meningkatkan efektivitas serangan berikutnya.

Rangkaian temuan ini memperlihatkan dinamika baru dalam lanskap keamanan digital global. Teknologi forensik dan spyware komersial, yang pada dasarnya dipasarkan untuk kebutuhan penegakan hukum, semakin sering muncul dalam konteks yang menyentuh aktivisme politik, kebebasan pers, dan hak asasi manusia. Bagi masyarakat sipil, risiko tidak lagi sebatas peretasan acak, melainkan pengawasan yang terarah, terstruktur, dan didukung teknologi dengan tingkat sofistikasi tinggi.

Vulnerability Kritis di n8n: Celah RCE Baru Bisa Ambil Alih Server Hanya Lewat Workflow

  

Di balik kemudahan automasi workflow yang ditawarkan n8n, tersimpan ancaman serius yang baru saja terungkap ke publik. Sebuah kerentanan keamanan kritis memungkinkan penyerang menjalankan perintah sistem secara jarak jauh hanya dengan memanipulasi ekspresi dalam workflow. Jika berhasil dieksploitasi, satu workflow sederhana cukup untuk menguasai seluruh server tempat n8n berjalan.

Celah ini diberi kode CVE-2026-25049 dengan tingkat keparahan sangat tinggi. Yang membuatnya lebih mengkhawatirkan, bug ini merupakan celah lanjutan dari kerentanan sebelumnya yang sudah sempat ditambal pada akhir 2025. Artinya, mekanisme proteksi yang ada ternyata masih bisa dilewati dengan teknik tertentu.

Masalah utama terletak pada sistem sanitasi ekspresi milik n8n. Pengguna yang memiliki akses membuat atau mengedit workflow dapat menyisipkan ekspresi berbahaya yang lolos dari filter keamanan. Ketika workflow dijalankan, ekspresi ini berubah menjadi perintah sistem yang dieksekusi langsung oleh server.

Dalam praktiknya, serangan bisa dibuat sangat sederhana. Penyerang cukup membuat workflow dengan webhook publik tanpa autentikasi, lalu menambahkan satu baris JavaScript khusus menggunakan teknik destructuring. Begitu workflow aktif, siapa pun di internet bisa memanggil webhook tersebut dan menjalankan command langsung di server korban.

Inilah yang membuat eksploitasi ini sangat berbahaya. Tidak dibutuhkan kredensial lanjutan, tidak perlu teknik rumit. Satu endpoint publik sudah cukup untuk remote code execution.

Dampaknya pun jauh lebih besar dari sekadar crash sistem. Peneliti keamanan menemukan bahwa celah ini memungkinkan pencurian API key, password database, token OAuth, hingga akses penuh ke filesystem internal. Bahkan workflow AI dan integrasi cloud dapat dibajak untuk menyebarkan serangan lanjutan.

Lebih parah lagi, penyerang bisa memasang backdoor permanen agar tetap memiliki akses jangka panjang ke server, meskipun bug telah ditambal di kemudian hari.

Akar masalah teknisnya berasal dari ketidaksinkronan antara sistem tipe TypeScript dan perilaku JavaScript saat runtime. Pada saat kompilasi, TypeScript memaksa parameter tertentu bertipe string. Namun saat aplikasi berjalan, penyerang bisa menyuntikkan objek atau struktur data lain yang sepenuhnya melewati proses sanitasi.

Dengan kata lain, sistem keamanan hanya kuat di atas kertas, tapi rapuh di dunia nyata.

Selain vulnerability utama ini, n8n juga mengungkap beberapa celah kritis lain yang tak kalah berbahaya. Ada command injection di Git node, stored XSS di antarmuka workflow, path traversal dalam transfer file, hingga kemampuan menulis file arbitrer langsung ke server. Beberapa di antaranya juga berpotensi berujung pada remote code execution.

Kombinasi celah-celah ini menjadikan n8n target bernilai tinggi bagi aktor ancaman, terutama karena platform ini sering terhubung langsung ke database, cloud provider, API internal, dan sistem produksi.

Bagi pengguna yang belum sempat melakukan update, langkah darurat yang disarankan adalah membatasi hak akses workflow hanya untuk user yang benar-benar tepercaya serta menjalankan n8n di lingkungan yang terisolasi dengan privilege minimal. Namun solusi paling efektif tetap satu: segera memperbarui ke versi terbaru yang telah menutup semua celah ini.

Kasus n8n menjadi pelajaran penting bahwa automasi modern membawa risiko besar jika tidak diamankan secara serius. Workflow yang dirancang untuk efisiensi justru bisa berubah menjadi senjata peretasan massal ketika validasi input diabaikan.

Di era DevOps, AI workflow, dan sistem terintegrasi, satu bug kecil tidak lagi berdampak kecil. Ia bisa menjadi pintu masuk kehancuran seluruh infrastruktur.

Jutaan Pengguna Instagram Panik, Klaim Kebocoran 17,5 Juta Data Ternyata Data Lama yang Didaur Ulang

Jutaan pengguna Instagram dibuat panik setelah menerima email mendadak yang meminta mereka melakukan reset kata sandi. Bagi banyak orang, pesan tersebut langsung diasosiasikan dengan kabar kebocoran data Instagram yang ramai dibicarakan pekan lalu. Isu ini cepat menyebar, memicu kekhawatiran bahwa data pribadi pengguna telah jatuh ke tangan pihak tidak bertanggung jawab.

Kepanikan itu bermula dari sebuah unggahan di Breach Forums, forum peretas yang dikenal sebagai tempat jual beli data curian. Dalam unggahan tersebut, seorang penjual mengklaim memiliki dump data bertajuk Instagram dot com 17M Global Users 2024 API Leak. Ia menyebut dataset tersebut berisi informasi 17,5 juta pengguna Instagram yang dikemas dalam format JSON dan TXT. Klaim ini diperkuat dengan narasi bahwa data yang bocor mencakup nama lengkap, alamat email, nomor telepon, hingga sebagian informasi lokasi.

Tak butuh waktu lama hingga klaim tersebut menyebar luas. Banyak pengguna yang menerima email reset kata sandi merasa bahwa akun mereka menjadi bagian dari kebocoran besar tersebut. Namun pada Sabtu, Meta selaku induk perusahaan Instagram memberikan klarifikasi resmi dan membantah adanya pelanggaran sistem.

Meta menjelaskan bahwa email reset kata sandi itu dipicu oleh masalah pada layanan pihak ketiga yang memungkinkan pihak eksternal mengirim permintaan reset password ke sejumlah akun. Masalah tersebut, menurut Meta, telah diperbaiki dan tidak menyebabkan pencurian data pribadi pengguna. Instagram juga menegaskan bahwa sistem mereka tidak diretas dan akun pengguna tetap aman. Dalam pernyataan resminya di platform X, Instagram meminta pengguna untuk mengabaikan email tersebut dan menyampaikan permintaan maaf atas kebingungan yang terjadi.

Sementara itu, tim peneliti dari Cybernews melakukan penelusuran independen terhadap dataset yang dijual di Breach Forums. Hasilnya cukup jelas. Klaim kebocoran data Instagram terbaru dinyatakan tidak benar. Data yang ditawarkan ternyata bukan hasil peretasan baru, melainkan data lama yang didaur ulang.

Menurut Cybernews, dataset tersebut identik dengan kebocoran Doxagram, sebuah situs peretas yang muncul pada tahun 2017 dan menjual data hasil scraping dari sekitar enam juta akun Instagram. Pada masa itu, seorang peneliti keamanan dari Kaspersky Lab, Ido Naor, pernah melaporkan adanya celah pada API Instagram, khususnya di bagian reset kata sandi. Celah tersebut dimanfaatkan untuk mengumpulkan data akun berprofil tinggi, termasuk nomor telepon dan alamat email.

Peneliti Cybernews menegaskan bahwa data yang kini diklaim sebagai kebocoran 2024 sejatinya adalah versi ulang dari kebocoran tahun 2022, yang juga merupakan hasil repackaging data dari tahun 2017. Seluruh struktur data, urutan akun, hingga field informasi yang tersedia menunjukkan kecocokan sempurna. Informasi sensitif di dalamnya pun berasal dari data lama, sementara sisanya merupakan data publik seperti username, nama tampilan, dan ID akun.

Dengan kata lain, tidak ada kebocoran data Instagram baru seperti yang diklaim di forum peretas tersebut. Yang terjadi adalah pengemasan ulang data lama dengan narasi baru untuk menciptakan kepanikan dan menarik pembeli. Meski demikian, insiden ini menjadi pengingat bahwa isu keamanan digital sering kali dimanfaatkan oleh aktor ancaman untuk memanipulasi persepsi publik.

Bagi pengguna Instagram, kejadian ini menegaskan pentingnya bersikap kritis terhadap kabar kebocoran data yang beredar. Tidak semua klaim di forum peretas mencerminkan ancaman nyata. Namun di sisi lain, kewaspadaan tetap diperlukan, karena praktik daur ulang data lama menunjukkan bahwa jejak digital yang pernah bocor dapat terus dieksploitasi selama bertahun tahun.

Backdoor di Ekstensi Resmi: Rekonstruksi Peretasan Trust Wallet dan Jejak Shai-Hulud

Dalam dunia kripto yang bergerak cepat, kabar dari Trust Wallet pada Selasa kemarin menjadi pengingat keras tentang rapuhnya rantai keamanan digital. Perusahaan mengungkap bahwa iterasi kedua serangan rantai pasok Shai-Hulud (atau Sha1-Hulud) pada November 2025 diduga kuat menjadi dalang di balik peretasan ekstensi Google Chrome mereka. Insiden ini berujung pada pencurian aset senilai kurang lebih $8,5 juta. 

Dalam laporan analisis pasca-kejadian, Trust Wallet memaparkan bagaimana rahasia GitHub milik developer mereka terekspos. Kebocoran ini membuka jalan bagi penyerang untuk mengakses kode sumber ekstensi dan, yang paling krusial, kunci API Chrome Web Store (CWS). Akses inilah yang menjadi titik masuk utama serangan.

Dengan kunci API tersebut, pelaku memperoleh kontrol penuh atas CWS, memungkinkan mereka mengunggah build baru secara langsung tanpa melalui prosedur rilis standar Trust Wallet yang biasanya mensyaratkan persetujuan dan tinjauan manual internal. Dari sinilah bencana dimulai. Penyerang kemudian mendaftarkan domain palsu “metrics-trustwallet[.]com” dan mendistribusikan versi trojan ekstensi melalui subdomain “api.metrics-trustwallet[.]com”. 

Versi berbahaya ini dilengkapi backdoor yang dirancang untuk mencuri mnemonic phrase atau frasa pemulihan dompet pengguna. Analisis lanjutan dari firma keamanan siber Koi mengungkap bahwa kode jahat tersebut tidak hanya aktif saat pengguna mengimpor seed phrase, tetapi juga terpicu setiap kali dompet dibuka (unlock), baik menggunakan kata sandi maupun biometrik.

Kerentanan ini bersifat menyeluruh. Dompet yang telah digunakan selama berbulan-bulan maupun yang baru sekali dibuka setelah pembaruan ke versi 2.68 sama-sama terdampak. Lebih parah lagi, kode tersebut mengiterasi dan mengeksfiltrasi data dari seluruh dompet yang dikonfigurasi dalam satu akun pengguna, bukan hanya dompet yang sedang aktif. “Jika Anda memiliki banyak dompet, semuanya dikompromikan,” tegas peneliti Koi, Oren Yomtov dan Yuval Ronen. 

Mereka juga menjelaskan bahwa seed phrase disisipkan ke dalam bidang errorMessage di data telemetri yang tampak normal, sebuah teknik penyamaran yang berpotensi lolos dari tinjauan kode sekilas. Pelacakan infrastruktur serangan mengarah ke penyedia hosting Stark Industries Solutions di IP 138.124.70.40, yang dikenal sebagai penyedia bulletproof hosting dengan rekam jejak mendukung aktivitas kriminal siber dan operasi siber yang didukung negara.

Indikasi kuat keterkaitan dengan kampanye Shai-Hulud sebelumnya muncul saat query langsung ke server penyerang menghasilkan respons “He who controls the spice controls the universe,” kutipan ikonik dari Dune yang juga muncul pada insiden npm Shai-Hulud terdahulu. Bukti waktu semakin menegaskan kesengajaan serangan ini: infrastruktur telah disiapkan sejak 8 Desember, lebih dari dua minggu sebelum pembaruan jahat didorong ke pasar pada 24 Desember 2025. “Ini bukan aksi spontan. Ini direncanakan,” tulis laporan Koi. 

Puncak insiden ini membuat Trust Wallet mendesak sekitar satu juta pengguna ekstensi Chrome untuk segera memperbarui ke versi 2.69 yang telah diamankan. Total kerugian mencapai sekitar $8,5 juta, diambil dari 2.520 alamat dompet dan dialirkan ke sedikitnya 17 dompet yang dikendalikan penyerang. Sebagai bentuk tanggung jawab, Trust Wallet membuka proses klaim penggantian bagi korban terdampak dengan mekanisme verifikasi ketat untuk mencegah penyalahgunaan. 

Ancaman sendiri belum berhenti. Pengungkapan ini beriringan dengan kemunculan Shai-Hulud 3.0, yang menurut peneliti Upwind, Guy Gilad dan Moshe Hassan, telah mengalami peningkatan signifikan pada teknik pengaburan serta kompatibilitas Windows, dengan fokus tetap pada pencurian rahasia dari mesin developer. Trust Wallet menyatakan telah memperketat pemantauan dan kontrol pada proses rilis mereka, sembari menegaskan bahwa serangan Sha1-Hulud adalah ancaman luas terhadap rantai pasok perangkat lunak industri. 

Hal ini menjadi pelajaran mahal bahwa tidak ada organisasi yang benar-benar kebal. Dalam lanskap digital yang semakin kompleks, kewaspadaan berlapisbaik di sisi penyedia layanan maupun pengguna akhir bukan lagi pilihan, melainkan keharusan.

Google Resmi Hentikan Dark Web Report pada 2026, Ini Alasan dan Dampaknya bagi Pengguna

Google kembali melakukan penyesuaian pada layanan keamanannya. Kali ini, raksasa teknologi tersebut mengumumkan akan menghentikan fitur Dark Web Report, sebuah alat yang sebelumnya dirancang untuk membantu pengguna memantau apakah data pribadi mereka tersebar di dark web. Keputusan ini cukup mengejutkan, mengingat fitur tersebut baru diluncurkan kurang dari dua tahun lalu.

Berdasarkan pengumuman resmi, Google akan menghentikan pemindaian kebocoran data baru di dark web mulai 15 Januari 2026. Selanjutnya, fitur Dark Web Report akan sepenuhnya dinonaktifkan pada 16 Februari 2026. Setelah tanggal tersebut, layanan ini tidak lagi tersedia bagi seluruh pengguna akun Google.

Dalam dokumen dukungan resminya, Google menjelaskan bahwa meskipun Dark Web Report mampu memberikan gambaran umum terkait kebocoran data, masukan dari pengguna menunjukkan bahwa fitur tersebut belum memberikan langkah lanjutan yang benar-benar membantu. Oleh karena itu, Google memilih untuk mengalihkan fokus ke pengembangan alat keamanan lain yang dinilai lebih memberikan tindakan nyata dan jelas dalam melindungi informasi pribadi pengguna di dunia digital.

Google juga menegaskan bahwa seluruh data yang berkaitan dengan Dark Web Report akan dihapus secara permanen setelah fitur ini dipensiunkan pada Februari 2026. Namun, bagi pengguna yang ingin menghapus data mereka lebih awal, Google menyediakan opsi untuk menghapus profil pemantauan secara manual melalui halaman Dark Web Report, dengan mengedit profil pemantauan dan memilih opsi penghapusan di bagian bawah halaman.

Sebagai informasi, Dark Web Report pertama kali diperkenalkan pada Maret 2023. Fitur ini hadir sebagai respons atas meningkatnya kasus pencurian identitas akibat kebocoran data, di mana informasi sensitif sering kali diperjualbelikan di dark web. Sistem ini dirancang untuk memindai jaringan darknet dan mendeteksi data pribadi seperti nama, alamat, email, nomor telepon, hingga nomor jaminan sosial, lalu memberikan notifikasi jika data tersebut ditemukan.

Pada awal peluncurannya, Dark Web Report hanya tersedia bagi pelanggan Google One. Namun, pada Juli 2024, Google memperluas aksesnya sehingga dapat digunakan oleh seluruh pemilik akun Google, sebagai bagian dari upaya meningkatkan perlindungan keamanan digital secara lebih luas.

Seiring dengan penghentian fitur ini, Google juga mendorong pengguna untuk mengambil langkah perlindungan tambahan. Salah satunya dengan menggunakan passkey sebagai metode autentikasi multi-faktor yang lebih tahan terhadap serangan phishing. Selain itu, Google menyarankan pengguna untuk memanfaatkan fitur “Results about you” guna menghapus informasi pribadi yang muncul di hasil pencarian Google.

Penghentian Dark Web Report menandai perubahan strategi Google dalam pendekatan keamanan data. Alih-alih sekadar memberi notifikasi keberadaan data di dark web, Google kini lebih menekankan pada pencegahan, penguatan autentikasi, dan kontrol langsung atas eksposur informasi pribadi di internet. Bagi pengguna, langkah ini menjadi pengingat bahwa perlindungan data tidak hanya bergantung pada satu fitur, tetapi pada kombinasi praktik keamanan yang konsisten dan berkelanjutan.

CISA Peringatkan Eksploitasi Aktif Celah Kritis GeoServer CVE-2025-58360, Ancaman XXE Serius bagi Infrastruktur Data

Dunia keamanan siber kembali diguncang oleh temuan serius setelah U.S. Cybersecurity and Infrastructure Security Agency (CISA) secara resmi menambahkan sebuah kerentanan berdampak tinggi pada OSGeo GeoServer ke dalam Known Exploited Vulnerabilities (KEV) Catalog. Keputusan ini diambil karena adanya bukti kuat bahwa celah keamanan tersebut telah dieksploitasi secara aktif di dunia nyata, menjadikannya ancaman nyata bagi organisasi yang masih menggunakan versi rentan dari perangkat lunak ini.

Kerentanan yang dimaksud adalah CVE-2025-58360 dengan skor CVSS 8.2, yang diklasifikasikan sebagai unauthenticated XML External Entity (XXE) vulnerability. Celah ini memengaruhi seluruh versi GeoServer hingga 2.25.5, serta rentang versi 2.26.0 sampai 2.26.1. Kerentanan tersebut telah diperbaiki dalam rilis 2.25.6, 2.26.2, 2.27.0, 2.28.0, dan 2.28.1. Menariknya, temuan ini dilaporkan oleh platform penemuan kerentanan berbasis kecerdasan buatan, XBOW, yang menunjukkan peran AI yang semakin signifikan dalam riset keamanan siber modern.

Menurut pernyataan resmi CISA, masalah ini muncul akibat pembatasan yang tidak tepat terhadap referensi entitas eksternal XML. Kerentanan terjadi ketika aplikasi menerima input XML melalui endpoint tertentu, yakni operasi /geoserver/wms GetMap, sehingga memungkinkan penyerang menyisipkan entitas eksternal berbahaya di dalam permintaan XML. Beberapa paket yang terdampak antara lain docker.osgeo.org/geoserver, org.geoserver.web:gs-web-app, dan org.geoserver:gs-wms. Kondisi ini membuka peluang eksploitasi tanpa memerlukan autentikasi sama sekali, sehingga meningkatkan tingkat risikonya secara signifikan.

Jika berhasil dieksploitasi, celah keamanan ini dapat memberikan dampak serius. Penyerang berpotensi membaca file arbitrer dari sistem file server, melakukan Server-Side Request Forgery (SSRF) untuk berinteraksi dengan sistem internal yang seharusnya tidak dapat diakses, hingga melancarkan serangan Denial-of-Service (DoS) dengan cara menguras sumber daya server. Para pengelola GeoServer menegaskan bahwa kombinasi dampak tersebut dapat berujung pada kebocoran data sensitif maupun gangguan layanan yang kritis.

Meski demikian, hingga saat ini belum tersedia rincian teknis mengenai bagaimana eksploitasi ini dilakukan dalam serangan nyata. Namun, buletin dari Canadian Centre for Cyber Security yang dirilis pada 28 November 2025 secara tegas menyebutkan bahwa eksploit untuk CVE-2025-58360 memang sudah beredar di alam liar. Fakta ini memperkuat urgensi bagi organisasi untuk segera mengambil tindakan mitigasi sebelum menjadi korban berikutnya.

Ancaman terhadap GeoServer juga bukan hal baru. Sebelumnya, sebuah celah kritis lain dengan kode CVE-2024-36401 dan skor CVSS 9.8 telah dieksploitasi oleh berbagai aktor ancaman sepanjang tahun lalu. Pola ini menunjukkan bahwa GeoServer kerap menjadi target bernilai tinggi, terutama karena perannya yang krusial dalam pengelolaan dan penyajian data geospasial.

Sebagai respons atas situasi ini, Federal Civilian Executive Branch (FCEB) di Amerika Serikat telah diarahkan untuk menerapkan pembaruan keamanan yang diperlukan paling lambat 1 Januari 2026. Langkah ini bertujuan untuk memastikan jaringan pemerintah tetap aman dari eksploitasi yang dapat berdampak luas. Bagi organisasi di luar sektor pemerintah, peringatan ini seharusnya menjadi sinyal kuat bahwa melakukan pembaruan segera bukan lagi pilihan, melainkan keharusan demi menjaga integritas sistem dan keamanan data.

Gainsight Perluas Temuan Insiden Keamanan, Integrasi Salesforce dan Layanan Lain Ikut Terdampak

Insiden keamanan yang menargetkan aplikasi Gainsight kembali mencuat setelah perusahaan tersebut mengungkap bahwa jumlah pelanggan yang terdampak lebih besar daripada estimasi awal. Salesforce sebelumnya hanya melaporkan tiga pelanggan yang terpengaruh, namun daftar tersebut mengalami perluasan signifikan pada 21 November 2025. Meski jumlah pastinya tidak dibuka ke publik, CEO Gainsight, Chuck Ganapathi, menegaskan bahwa hanya sebagian kecil pelanggan yang diketahui mengalami dampak pada data mereka.

Perkembangan ini mencuat bersamaan dengan peringatan dari Salesforce mengenai aktivitas tidak biasa yang terdeteksi pada aplikasi terbitan Gainsight di platform mereka. Situasi tersebut mendorong Salesforce untuk mencabut seluruh akses dan token refresh terkait integrasi Gainsight. Serangan ini juga diklaim oleh kelompok kejahatan siber ShinyHunters, yang dikenal luas dengan nama Bling Libra, sehingga meningkatkan kekhawatiran terhadap potensi eskalasi insiden.

Sebagai langkah mitigasi, sejumlah platform besar seperti Zendesk, Gong.io, dan HubSpot memilih menangguhkan integrasi Gainsight untuk sementara. Google juga mengambil tindakan pencegahan dengan menonaktifkan OAuth client yang menggunakan callback URI seperti gainsightcloud[.]com. Dalam pernyataannya, HubSpot memastikan bahwa tidak ditemukan bukti kompromi terhadap infrastruktur atau pelanggan mereka. Di sisi Gainsight, beberapa produk yang menggunakan kemampuan membaca dan menulis data dari Salesforce juga mengalami penghentian sementara, yaitu Customer Success (CS), Community (CC), Northpass – Customer Education (CE), Skilljar (SJ), dan Staircase (ST), meskipun Gainsight menegaskan bahwa Staircase tidak terdampak dan hanya dicabut sebagai antisipasi.

Salesforce dan Gainsight kemudian merilis sejumlah indikator kompromi (IoC) untuk membantu pelanggan mengenali aktivitas mencurigakan. Salah satu yang menonjol adalah user-agent “Salesforce-Multi-Org-Fetcher/1.0” yang digunakan dalam akses tidak sah dan sebelumnya juga teridentifikasi dalam insiden yang berkaitan dengan Salesloft Drift. Catatan investigasi Salesforce menunjukkan bahwa proses pengintaian terhadap pelanggan yang akses token Gainsight-nya telah disusupi pertama kali terjadi pada 23 Oktober 2025 melalui IP 3.239.45[.]43, kemudian diikuti gelombang aktivitas lanjutan sejak 8 November.

Sebagai bagian dari upaya pengamanan tambahan, Gainsight meminta pelanggan untuk melakukan beberapa langkah kritis. Di antaranya mengganti akses key S3 bucket serta konektor lain seperti BigQuery, Zuora, dan Snowflake, masuk ke Gainsight NXT secara langsung tanpa melalui Salesforce, mengatur ulang kata sandi pengguna NXT yang tidak menggunakan SSO, serta melakukan otorisasi ulang aplikasi terhubung yang bergantung pada token atau kredensial pengguna. Gainsight menegaskan bahwa langkah-langkah tersebut bersifat preventif agar lingkungan pelanggan tetap aman selama proses investigasi berlangsung.

Di tengah penanganan insiden Gainsight, muncul pula informasi mengenai platform ransomware-as-a-service (RaaS) baru bernama ShinySp1d3r atau Sh1nySp1d3r  yang dikembangkan oleh aliansi kriminal Scattered Spider, LAPSUS$, dan ShinyHunters (SLSH). Laporan ZeroFox menunjukkan bahwa kelompok ini bertanggung jawab atas sedikitnya 51 serangan siber dalam satu tahun terakhir. ShinySp1d3r disebut memiliki fitur unik yang belum terlihat pada RaaS lain, seperti kemampuan mematikan fungsi logging Windows Event Viewer, menghentikan proses yang menahan file agar tetap terbuka, serta menuliskan data acak pada ruang kosong drive guna menimpa data yang telah dihapus.

Kemampuan tambahan ShinySp1d3r yang memungkinkan pencarian share network terbuka, enkripsi file, hingga penyebaran lateral melalui deployViaSCM, deployViaWMI, dan attemptGPODeployment membuatnya semakin berbahaya. Jurnalis siber Brian Krebs melaporkan bahwa individu yang merilis ransomware ini adalah anggota inti SLSH bernama “Rey” atau @ReyXBF, yang sebelumnya aktif sebagai admin BreachForums dan situs kebocoran data HellCat ransomware. Identitas Rey telah diungkap sebagai Saif Al-Din Khader, yang mengklaim bahwa ShinySp1d3r merupakan pengembangan ulang HellCat dengan bantuan AI dan bahwa ia telah bekerja sama dengan aparat sejak Juni 2025.

Menurut Matt Brady dari Unit 42 Palo Alto Networks, kemunculan RaaS bersamaan dengan layanan extortion-as-a-service (EaaS) menjadikan SLSH lawan yang jauh lebih rumit. Kombinasi kemampuan teknis, model monetisasi berlapis, serta elemen perekrutan insider semakin memperluas jangkauan serangan dan menambah tantangan bagi organisasi dalam memperkuat pertahanan siber mereka.