Workday , raksasa teknologi SDM yang melayani lebih dari 11.000 perusahaan dan 70 juta pengguna di seluruh dunia, baru-baru ini mengungkapkan pelanggaran data yang mengkompromikan informasi kontak pelanggan. Insiden yang terjadi pada 6 Agustus 2024 ini telah memicu diskusi komunitas tentang implikasi yang lebih luas dari serangan berbasis Salesforce dan transparansi perusahaan dalam notifikasi pelanggaran.
Skala Workday:
- Melayani: 11.000+ korporasi
- Pengguna: 70 juta di seluruh dunia
- Status: Penyedia yang diotorisasi FedRAMP
- Persyaratan regulasi: Pelaporan FISMA wajib untuk kontrak federal
Cakupan Terbatas namun Bagian dari Kampanye yang Lebih Besar
Pelanggaran ini memengaruhi basis data hubungan pelanggan pihak ketiga Workday , mengekspos nama, alamat email, dan nomor telepon beberapa pengguna. Analisis komunitas menunjukkan bahwa hal ini terutama berdampak pada detail kontak anggota tim admin dan SDM di organisasi pelanggan, bukan data sensitif karyawan dari semua pengguna. Informasi yang dicuri tampaknya adalah data kontak bisnis yang kemungkinan sudah semi-publik sejak awal, karena tim penjualan pasti perlu menemukan dan memasukkan informasi ini pada mulanya.
Namun, insiden ini merupakan bagian dari kampanye serangan yang jauh lebih besar yang menargetkan sistem Salesforce Customer Relationship Management. Gelombang pelanggaran yang sama telah menghantam perusahaan-perusahaan besar termasuk Adidas , Google , Qantas Airways , dan Cisco , dengan serangan yang terutama dikaitkan dengan kelompok peretas ShinyHunters yang dikenal karena taktik rekayasa sosial dan voice phishing.
Perusahaan yang Terdampak Kampanye Serangan Salesforce:
- Workday (teknologi HR)
- Adidas (ritel)
- Google (teknologi)
- Qantas Airways (penerbangan)
- Cisco (teknologi jaringan)
- AT&T (73 juta catatan pelanggan)
- PowerSchool (jutaan siswa dan guru)
Implikasi Kontrak Federal Meningkatkan Taruhan
Pelanggaran ini memiliki bobot tambahan karena kontrak pemerintah federal Workday yang ekstensif. Sebagai penyedia yang diotorisasi FedRAMP , perusahaan menghadapi persyaratan pelaporan wajib di bawah FISMA dan harus melakukan penilaian insiden formal dengan pelanggan lembaga federal dalam kerangka waktu yang ketat. Pengawasan regulasi ini menambah kompleksitas di luar respons pelanggaran perusahaan pada umumnya.
Kekhawatiran Transparansi dan Respons Perusahaan
Pengamat komunitas telah mencatat aspek-aspek yang dipertanyakan dari pendekatan pengungkapan Workday . Meskipun perusahaan tidak menyembunyikan pelanggaran tersebut, butuh waktu sebelum mengumumkannya dan awalnya menggunakan langkah-langkah teknis yang dapat membatasi visibilitas pengumuman pelanggaran mereka dalam hasil pencarian. Meskipun beberapa pihak membela ini sebagai praktik standar di seluruh posting blog mereka, yang lain melihatnya sebagai upaya untuk meminimalkan kesadaran publik.
Jenis informasi yang diperoleh pelaku terutama adalah informasi kontak bisnis yang umumnya tersedia, seperti nama, alamat email, dan nomor telepon, yang berpotensi untuk memajukan penipuan rekayasa sosial mereka.
Insiden ini menyoroti bagaimana perusahaan modern semakin bergantung pada platform seperti Salesforce tidak hanya untuk data penjualan, tetapi sebagai platform aplikasi internal serbaguna. Penggunaan yang diperluas ini berarti bahwa pelanggaran Salesforce dapat bervariasi secara dramatis dalam cakupan dan dampak, sehingga sulit untuk menilai tingkat sebenarnya dari informasi yang dikompromikan tanpa investigasi yang mendetail.
Pelanggaran ini berfungsi sebagai pengingat lain bahwa bahkan paparan data yang terbatas dapat memungkinkan serangan rekayasa sosial yang canggih, terutama ketika pelaku ancaman dapat menggunakan informasi kontak bisnis yang sah untuk membuat kampanye phishing yang meyakinkan yang menargetkan organisasi lain.
Referensi: HR Giant Workday Got Hacked
 |
|---|
| Transparansi perusahaan sangat penting selama krisis pelanggaran data |