Seorang mantan pegawai perusahaan teknologi di Singapura dijatuhi hukuman penjara setelah menghapus 180 server virtual milik bekas kantornya. Aksi itu menimbulkan kerugian sekitar 917.832 dollar Singapura, atau sekitar Rp 11 miliar.
Kasus ini menyedot perhatian karena serangan dilakukan bukan dengan membobol dari luar, melainkan memanfaatkan akses administrator lama yang belum dicabut setelah pelaku dipecat. Insiden ini juga memperlihatkan bagaimana celah dalam proses pencabutan akses bisa berujung pada kerusakan besar.
Pria tersebut adalah Kandula Nagaraju, mantan cloud consultant di perusahaan teknologi NCS. Ia diberhentikan pada Oktober 2022 karena dinilai memiliki performa kerja yang buruk.
Meski kontrak kerjanya sudah berakhir, akses administratif miliknya ternyata masih aktif. Celah itu kemudian dipakai untuk masuk kembali ke sistem perusahaan secara ilegal beberapa bulan setelah pemecatan.
Menurut Channel News Asia, setelah dipecat Nagaraju sempat kembali ke India. Dari sana, ia beberapa kali mengakses sistem internal NCS antara Januari hingga Maret 2023 dengan memakai laptop pribadinya.
Akses itu tidak dilakukan secara acak. Ia disebut mempelajari kelemahan sistem sekaligus menguji apakah aktivitasnya bisa terdeteksi oleh perusahaan.
Serangan Disiapkan dari Jarak Jauh
Pada Februari 2023, Nagaraju kembali ke Singapura. Ia tinggal bersama mantan rekan kerjanya yang masih bekerja di NCS dan menggunakan jaringan WiFi rumah itu untuk menyamarkan aktivitas akses ilegal ke sistem perusahaan.
Dalam periode tersebut, ia juga menelusuri script penghapus server melalui Google. Setelah itu, ia mengembangkan program yang digunakan untuk menghapus server virtual satu per satu.
Serangan dilancarkan pada Maret 2023. Script itu dijalankan untuk menghapus total 180 virtual server di lingkungan quality assurance (QA) milik NCS.
Lingkungan QA merupakan sistem yang dipakai untuk pengujian perangkat lunak. Karena penyerangan dilakukan saat akhir pekan, dampaknya baru diketahui pada Senin ketika tim QA tidak bisa mengakses sistem mereka.
Temuan awal itu lalu memicu investigasi internal. Tim keamanan NCS menemukan aktivitas mencurigakan yang berasal dari akun administrator lama yang masih aktif.
Dari penelusuran log akses, perusahaan menemukan koneksi ilegal yang bersumber dari jaringan rumah rekannya di Singapura. Temuan itu kemudian mengarahkan kasus ini ke penyelidikan yang lebih luas.
Bukti Digital dan Vonis Pengadilan
Polisi Singapura kemudian dilibatkan untuk menyelidiki insiden tersebut. Dalam penggerebekan, aparat menyita laptop pribadi Nagaraju yang dipakai untuk mengakses sistem perusahaan.
Pemeriksaan forensik digital menemukan sejumlah bukti penting. Di antaranya adalah script penghapus server, riwayat akses ilegal ke sistem NCS, serta pencarian Google terkait cara menghapus virtual server secara massal.
Bukti-bukti digital itu memperkuat dugaan penyidik. Nagaraju akhirnya mengakui perbuatannya kepada polisi.
Pada Juni 2024, pengadilan Singapura menjatuhkan hukuman dua tahun delapan bulan penjara kepadanya. Vonis itu dijatuhkan atas tindak akses ilegal ke sistem komputer perusahaan.
Nilai kerugian yang ditanggung NCS mencapai sekitar 917.832 dollar Singapura. Angka itu setara sekitar Rp 11 miliar.
Meski kerusakannya besar, perusahaan memastikan tidak ada data sensitif pelanggan yang tersimpan di server yang dihapus. Sistem yang diserang hanya digunakan untuk lingkungan pengujian software, bukan untuk penyimpanan data pelanggan.
Sorotan pada Ancaman Orang Dalam
Kasus ini kembali menyoroti risiko insider threat, atau ancaman yang datang dari orang dalam. Dalam banyak insiden, sumber masalah bukan hanya niat pelaku, tetapi juga akses yang tetap terbuka setelah hubungan kerja berakhir.
Pakar keamanan siber dari Waterstons menilai perusahaan semestinya memiliki prosedur offboarding yang ketat. Semua akun, termasuk akun administrator, idealnya langsung dinonaktifkan begitu karyawan resign atau dipecat.
Selain itu, perusahaan disarankan menerapkan prinsip least privilege. Dengan pendekatan ini, pegawai hanya diberikan akses minimum sesuai kebutuhan pekerjaannya.
Audit berkala atas akun administrator juga dinilai penting. Langkah ini diperlukan untuk memastikan tidak ada akun lama yang masih aktif atau memiliki hak akses yang terlalu luas.
Untuk akun layanan dan akses admin lokal, pakar keamanan juga menyarankan penggunaan sistem manajemen password terpusat seperti Microsoft LAPS. Sistem semacam itu memungkinkan password segera diganti ketika pegawai dengan akses khusus keluar dari perusahaan.
Lapisan perlindungan tambahan juga dinilai perlu diterapkan. Di antaranya autentikasi dua faktor dengan perangkat fisik seperti YubiKey, serta pembatasan sumber akses lewat IP allow list atau conditional access.
Menurut analis keamanan, kombinasi pencabutan akses yang lambat dan hak administrator yang terlalu luas menjadi penyebab utama kasus seperti ini bisa terjadi. Dalam insiden NCS, dua faktor itu terbukti cukup untuk membuka jalan bagi penghapusan 180 server dari dalam sistem perusahaan sendiri.
