Allianz Life umumkan mayoritas data pribadi pelanggan dicuri dalam serangan siber

 (techcrunch.com)
2 poin oleh GN⁺ 2025-07-28 | 1 komentar | Bagikan ke WhatsApp
  • Perusahaan asuransi AS Allianz Life mengalami serangan siber, dan data pribadi pelanggan, profesional keuangan, serta sebagian karyawan dicuri
  • Penyerang mencuri sebagian besar informasi dari sistem CRM berbasis cloud dengan teknik rekayasa sosial
  • Allianz Life telah menjalani prosedur pelaporan hukum dan memberi tahu FBI, tetapi tidak mengungkap perkiraan kelompok peretas atau jumlah korban
  • Belakangan ini, insiden kebocoran data serupa di seluruh industri asuransi terjadi beruntun, dan makin banyak kasus yang diduga dilakukan oleh kelompok peretas Scattered Spider
  • Pemberitahuan individual kepada para korban dijadwalkan mulai sekitar 1 Agustus

Ringkasan serangan siber Allianz Life

  • Perusahaan asuransi besar asal AS Allianz Life secara resmi mengonfirmasi kepada TechCrunch bahwa dalam insiden kebocoran data yang terjadi pada pertengahan Juli 2025, banyak data pribadi termasuk milik pelanggan telah dicuri
  • Juru bicara Allianz Life secara resmi mengakui insiden ini dan menyebut waktu serangan secara spesifik pada 16 Juli 2025
  • Penyerang mengakses sistem CRM (manajemen hubungan pelanggan) cloud milik pihak ketiga dan mencuri informasi pribadi yang dapat diidentifikasi milik sebagian besar pelanggan, profesional keuangan, dan sebagian karyawan dengan memanfaatkan teknik rekayasa sosial

Status kebocoran data dan respons

  • Fakta kebocoran data ini diungkap melalui dokumen pelaporan hukum negara bagian Maine, tetapi jumlah pelanggan yang terdampak tidak langsung diungkap
  • Allianz Life memiliki sekitar 1,4 juta pelanggan di AS, sementara grup induknya, Allianz, memiliki lebih dari 125 juta pelanggan di seluruh dunia
  • Allianz Life telah memberi tahu FBI tentang insiden ini, tetapi tidak mengungkap apakah ada tuntutan uang dari peretas atau komunikasi langsung dari mereka
  • Mengenai cakupan kebocoran, perusahaan menekankan bahwa peretas hanya mengakses melalui sistem CRM dan tidak ada bukti kompromi pada sistem lain di dalam jaringan

Insiden peretasan serupa di industri dan latar belakangnya

  • Dalam sebulan terakhir, serangan peretasan berskala besar yang menargetkan perusahaan asuransi seperti Aflac terjadi berturut-turut
  • Peneliti keamanan Google pada Juni menyatakan telah mengamati banyak insiden intrusi di seluruh industri asuransi, dan menunjuk kelompok peretas Scattered Spider yang menggunakan rekayasa sosial sebagai pelakunya
    • Teknik rekayasa sosial: metode seperti menipu petugas helpdesk lewat panggilan yang menyamar untuk mendapatkan hak akses jaringan
  • Scattered Spider sebelumnya juga memiliki riwayat menyerang ritel Inggris, penerbangan dan transportasi, hingga raksasa IT Silicon Valley di berbagai industri

Tindak lanjut dan pemberitahuan

  • Allianz Life berencana memulai pemberitahuan individual kepada pelanggan terdampak dan pihak terkait sekitar 1 Agustus
  • Untuk pelaporan informasi tambahan terkait keamanan dan pertanyaan, disarankan menggunakan saluran terenkripsi terpisah

Bacaan terkait

1 komentar

 
GN⁺ 2025-07-28
Opini Hacker News

  • Saya sering mengatakan ini, dan saya tahu ini opini yang tidak populer, tapi saya tidak begitu paham kenapa
    peneliti keamanan, peretas white-hat, dan peretas gray-hat seharusnya mendapat perlindungan hukum yang kuat jika mereka hanya melaporkan kerentanan yang mereka temukan
    Peretas jahat terus mencari celah keamanan, dan tidak ada sistem yang benar-benar menghentikan mereka
    Sebaliknya, ketika peretas berniat baik melakukan hal yang sama, mereka justru bisa dituntut sebagai pelaku kejahatan berat
    Secara empiris, sudah terbukti kita gagal membangun sistem yang aman
    Memang memalukan, tapi sebagian besar perusahaan besar atau organisasi kita nyaris tidak punya kemampuan untuk membuat sistem yang aman
    Salah satu alasan kita menutup mata terhadap fakta ini adalah karena bahkan riset keamanan internal red team pun sering tidak diizinkan
    Akibatnya, seluruh keadaan justru menguntungkan perusahaan dan organisasi yang punya kuasa
    Perusahaan berkata, "sistem kami adalah tanggung jawab kami dan tidak boleh diuji tanpa izin. Tapi kalau data bocor, kami tidak bertanggung jawab"
    Jadi ironis bahwa organisasi memilih sendiri kapan mereka mau bertanggung jawab dan kapan tidak, sesuai kepentingan mereka
    Apakah perusahaan bertanggung jawab atas keamanan sistem mereka sendiri, atau ini tugas bersama kita semua? Hal ini harus diperjelas
    Ketika data setengah populasi negara bocor berulang kali, ini terasa seperti masalah yang menyangkut semua orang
    Dan ini benar-benar persoalan keamanan nasional
    Misalnya, apakah ada lembaga independen yang memeriksa apakah jaringan listrik nasional aman, atau bolehkah saya sendiri mencoba secara legal?
    Tidak, tidak boleh. Mencoba saja sudah bisa dianggap kejahatan berat
    Dengan begini, organisasi yang sangat kuat bisa membiarkan celah keamanan tetap ada tanpa melakukan apa pun, dan pihak luar juga tidak punya hak untuk meneliti celah itu
    Pada akhirnya, kita mengorbankan keamanan nasional demi kenyamanan perusahaan dan agar perusahaan tidak dipermalukan

    • Ini membuat saya berpikir apakah database pelanggan Google, facebook, dan Microsoft pernah benar-benar diretas
      Saat ini hampir tidak ada akuntabilitas bagi perusahaan yang membuat perangkat lunak dengan sangat ceroboh
      Setiap kebocoran data harus menimbulkan kerugian yang setimpal dengan skala perusahaan tersebut
      Misalnya, kasus Equifax seharusnya hampir membuat perusahaan itu sendiri runtuh
      Dendanya harus mencapai miliaran dolar agar mereka benar-benar waspada dan melakukan audit internal dengan benar
      Saat ini praktis tidak ada alasan bagi mereka untuk benar-benar peduli pada keamanan

    • Jika strukturnya memang membuat perusahaan menerima hukuman besar, misalnya regulator punya sistem untuk menghitung besaran kerugian dan menjatuhkan penalti jangka panjang, harga saham akan turun dan perusahaan mau tak mau akan menanggapi keamanan dengan serius
      Kenyataannya justru sebaliknya, banyak perusahaan hanya menerima peringatan ringan lalu selesai

    • Argumen yang menarik
      Tapi kalau white-hat dan gray-hat sama-sama mendapat perlindungan hukum, bukankah peretas black-hat bisa meretas semua sistem lebih dulu sesuka hati lalu beralasan, "Saya cuma sedang mencari kerentanan"
      Mereka bisa saja tidak melaporkan celah itu, mengingat semua caranya, lalu memakainya kapan saja untuk serangan sungguhan
      Bahkan seseorang bisa berpura-pura menjadi white-hat seumur hidup, padahal diam-diam menjual informasi itu
      Sistem saat ini justru menahan perilaku seperti itu

    • Agar masalah seperti ini tidak muncul, web perlu memiliki tingkat anonimitas tertentu, dan jika seseorang tanpa sengaja menemukan celah keamanan atau memicu masalah saat melakukan hal yang normal, itu seharusnya tidak dianggap tindak kriminal
      Selain itu, jika database menyimpan token kriptografi asimetris alih-alih string biasa, sehingga pengguna bisa menerima kompensasi dari layanan ketika terjadi kebocoran, mungkin penyelesaiannya akan lebih mudah
      Tapi tidak ada perusahaan yang benar-benar ingin menjamin perlindungan pengguna dengan cara seperti itu
      Pada akhirnya, sebagian besar aktivitas keamanan hanya bersifat kosmetik

    • Penting untuk diingat bahwa tidak semua riset keamanan itu sama
      Riset yang masih dalam batas kewajaran yang masuk akal—misalnya menemukan kerentanan secara tidak sengaja lalu melaporkannya—jelas harus dilindungi
      Sebaliknya, pengujian penetrasi tanpa izin yang jelas memang bisa mengganggu sistem sungguhan
      Jika semuanya dibolehkan begitu saja untuk semua orang, itu juga bisa mengganggu sistem yang sebenarnya sudah dibangun dengan baik
      Ada bidang yang bisa diselesaikan secara teknis, seperti algoritma kriptografi, tetapi keamanan siber pada akhirnya masih bergantung pada hukum dan kepercayaan

  • Kebocoran data tanpa akhir seperti ini bisa dikurangi jika struktur insentif diubah, tetapi saya rasa secara realistis itu sulit
    Kita harus menyadari bahwa ini tidak bisa dicegah sepenuhnya—manusia membuat kesalahan, dan makin besar skalanya, makin banyak pula kesalahannya
    Namun itu bukan alasan untuk berhenti berusaha
    Sebagai alternatif, kita juga perlu menjalankan beberapa cara untuk mengurangi dampak kebocoran data pribadi
    Jangan menganggap informasi seperti tanggal lahir, nama, alamat, nomor telepon, email, dan SSN sebagai rahasia, melainkan tutup berbagai jalur yang benar-benar bisa dipakai untuk melakukan 'pencurian identitas'
    Saya sendiri tidak suka istilah identity theft—seolah-olah korbannya yang melakukan kesalahan
    Padahal masalah sebenarnya adalah perusahaan memverifikasi identitas lawan transaksinya dengan sembarangan lalu tetap bertransaksi
    Beban tanggung jawab seharusnya ada pada perusahaan
    Misalnya, jika bank memberikan pinjaman atas nama saya, maka itu harus menjadi tanggung jawab bank, bukan tanggung jawab saya
    Kalau struktur ini diubah, perusahaan akan melakukan verifikasi identitas dengan jauh lebih ketat dan insentifnya pun menjadi selaras
    Tentu saja, masalah kebocoran data tidak hanya soal pencurian identitas, tapi bahkan bagian ini saja menurut saya sudah cukup bisa dibenahi

    • Kalau Anda setuju bahwa saya tidak suka istilah identity theft, saya ingin merekomendasikan video sketsa ini
      https://www.youtube.com/watch?v=CS9ptA3Ya9E

    • Terkait klaim bahwa "kalau insentif dibenahi maka kebocoran akan berkurang", saya bertanya-tanya apakah biaya untuk menangani dampak kebocoran sebenarnya lebih tinggi daripada biaya untuk mencegahnya secara fundamental
      Di luar kasus yang berkaitan dengan keamanan nasional, agak sulit memastikan bahwa kerugiannya pasti lebih besar daripada biaya tindakan pencegahan

    • Istilah "pencurian identitas" tidak selalu terdengar memiliki nuansa bahwa korbannya yang bersalah
      Jika sesuatu dicuri dari seseorang, kita biasanya tidak mengatakan orang itu yang salah
      Sama seperti jika uang saya dicuri dari brankas bank, itu bukan tanggung jawab saya
      Hanya saja dalam keamanan siber, penyerang bisa berada di belahan dunia lain sehingga perlindungan terhadap korban menjadi lebih sulit
      Pada akhirnya, korban tetaplah korban

    • Sebenarnya solusi sudah ada—MFA (autentikasi multi-faktor) dan federasi IdP (penyedia identitas)
      Yang satu adalah sesuatu yang diketahui (data), yang lain adalah sesuatu yang dimiliki atau biometrik (seperti sidik jari)
      IdP melakukan autentikasi di kedua sisi dan tanggung jawab autentikasi juga tersebar
      Mirip seperti SIM, yang saya pegang dan juga bisa diverifikasi di sistem pemerintah
      Masalahnya, banyak tempat memakai pengenalan wajah sebagai faktor autentikasi kedua, sehingga risikonya terhadap privasi cukup besar
      Dalam jangka panjang, pemerintah bisa saja menjadi satu-satunya IdP
      Metode non-biometrik memang punya kesulitan nyata dalam skala besar, tetapi sidik jari dan sejenisnya sebenarnya sudah dikelola di banyak negara, jadi menurut saya masih lebih baik daripada pengenalan wajah

  • Situasi seperti ini tidak akan pernah, benar-benar tidak akan pernah hilang sampai para eksekutif bangkrut atau bahkan dipenjara karena kelalaian
    Bahkan kalau itu terjadi pun, paling hanya frekuensi dan tingkat keparahannya yang berkurang

    • Kalau bukan karena kelalaian yang disengaja atau tindakan jahat, saya rasa memenjarakan seseorang bukan jawabannya
      Sebagian besar insiden keamanan berasal dari kesalahan
      Memberi pukulan finansial pada perusahaan mungkin bisa memberi efek jera, tetapi jika perusahaan bangkrut, ratusan atau ribuan orang bisa langsung kehilangan pekerjaan
      Hanya karena salah konfigurasi firewall atau seorang karyawan tertipu serangan rekayasa sosial, perusahaan bisa menanggung kerugian yang sangat besar
      Mungkin justru lebih realistis untuk mengakui bahwa cloud, SaaS, dan sistem yang terhubung ke internet pada dasarnya tidak aman, lalu sangat membatasi penggunaannya
      Atau mengubah struktur sosial agar informasi seperti nama, SSN, tanggal lahir, alamat, dan nama gadis ibu menjadi tidak berarti walaupun bocor

    • Ini pendapat yang mendukung penghapusan tanggung jawab terbatas
      Maksudnya, pemegang saham harus bertanggung jawab dengan seluruh hartanya atas total kerugian para korban
      Kalau ingin menikmati keuntungan, maka sewajarnya seluruh risikonya juga harus ditanggung sendiri

    • Saya ingat ketika GDPR diperkenalkan, orang-orang sangat berharap karena dipromosikan bahwa para eksekutif akhirnya akan bertanggung jawab langsung atas insiden peretasan
      Saat itu saya menganggapnya omong kosong, dan ternyata memang begitu
      Agar ada tanggung jawab hukum, kelalaian berat harus dibuktikan, dan di pengadilan ada banyak celah untuk lolos
      Era di mana eksekutif bertanggung jawab atas semua hal yang terjadi selama masa jabatannya tidak akan datang

  • Menurut saya perlu ada aturan yang otomatis mengenakan denda £1,000 untuk setiap data pelanggan yang bocor
    Kalau perusahaannya punya jutaan pelanggan, itu bisa benar-benar mengakhiri perusahaan itu sendiri
    Kenyataannya, mereka bahkan tidak benar-benar peduli, dan ketika kebocoran terjadi, biasanya cukup mengirim satu email permintaan maaf yang setengah hati lalu selesai
    Di Inggris, ICO (kantor perlindungan informasi) sama tidak berguna dan berbahayanya dengan Ofwat (regulator pengelolaan air)
    (Typo sudah diperbaiki)

    • Dendanya harus dibayarkan langsung kepada pelanggan
      Saat ini modelnya adalah hasil gugatan kelompok baru cair sekitar setahun kemudian dan pelanggan hanya menerima beberapa sen, jadi tidak benar-benar membantu mereka

    • Jika perusahaan jadi "tidak mungkin diselamatkan", pertanyaannya apa yang terjadi pada para pelanggannya?
      Bukankah itu justru membuat korban dirugikan lagi?

    • Ada kekhawatiran bahwa jika dendanya terlalu besar, seluruh ekonomi negara bisa ikut terdampak

  • Allianz memang benar-benar menawarkan asuransi untuk menghadapi serangan siber seperti ini
    https://www.allianz.de/aktuell/storys/cyberschutz-knoten-im-system/

    • Asuransi itu sendiri adalah bagian dari masalah
      Karena bagi perusahaan, sering kali lebih murah membeli asuransi daripada membangun perangkat lunak yang aman dan berinvestasi dalam riset
      Selama struktur seperti ini bertahan, tidak akan ada yang berubah

    • Setidaknya melegakan bahwa perlindungan endpoint yang diwajibkan secara kontrak ternyata benar-benar berfungsi

  • Salah satu penyebabnya adalah para pengembang Salesforce tidak terlalu memahami produknya, dan Salesforce sendiri juga tidak terlalu peduli pada keamanan
    Dalam lingkungan yang tidak dikonfigurasi dengan benar, semua data yang bisa diambil dapat dilihat hanya dengan dua permintaan web tanpa autentikasi
    Bahkan sistem pemantauannya pun tidak memadai, sehingga kami harus merancang sendiri seluruh sistem pemantauan keamanan dari luar berdasarkan log Salesforce yang buruk
    Ada juga panduan yang layak dijadikan referensi, jadi saya tinggalkan di sini
    https://www.varonis.com/blog/misconfigured-salesforce-experi
    Ini bisa diotomatisasi sehingga setelah melakukan reconnaissance, Anda bahkan bisa menemukan situs Salesforce-nya
    Saya sendiri pernah melakukannya

  • Di artikel disebutkan, "Pada 16 Juli 2025, seorang peretas jahat mengakses sistem CRM berbasis cloud pihak ketiga yang digunakan Allianz Life"
    Saya penasaran sebenarnya CRM "pihak ketiga berbasis cloud" ini apa

    • Tulisan terbaru Google tentang Salesforce juga layak dilihat
      https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

    • Artikel lain menyebutkan bahwa itu adalah Salesforce, dan sering kali pihak pemilik data memang mengelolanya dengan keamanan yang buruk
      Tenant Salesforce yang salah konfigurasi tersebar di seluruh internet

    • Apa pun sistemnya, bukankah sebenarnya tidak terlalu penting
      Penyebabnya bukan peretasan teknis, melainkan serangan rekayasa sosial yang menipu manusia

    • Tergantung CRM yang dipakai, bukankah ini juga bisa menjadi pelanggaran HIPAA?

  • Hampir tidak ada hukuman nyata bagi perusahaan besar meskipun pengelolaan keamanan datanya buruk
    Pemerintah membuat SSN hampir mustahil diganti, tetapi tetap saja terus menggunakannya untuk verifikasi identitas
    Akibatnya, sebagian besar orang pada dasarnya sudah terekspos

  • Seperti disebutkan dalam artikel, selain serangan rekayasa sosial melalui call center dan sebagainya, informasi perusahaan juga terlalu tersebar di internet
    Misalnya, LinkedIn adalah tambang emas bagi social engineering
    Profil bisa dilihat oleh siapa pun yang masuk, terlepas dari apakah mereka terhubung atau tidak, jadi terasa aneh bahwa lebih banyak perusahaan tidak secara aktif meninjau profil karyawan

  • Ini sangat merepotkan bagi pelanggan dan merugikan perusahaan, jadi pada titik tertentu saya bertanya-tanya apakah ini seharusnya dipandang sebagai kegagalan sistem sosial semacam 'tragedy of the commons'
    Secara hukum, jika bank hanya menggunakan informasi publik yang sangat mudah disalahgunakan untuk autentikasi, seperti SSN atau nama gadis ibu, maka ketika insiden nyata terjadi, bukankah seharusnya bank yang bertanggung jawab?