$BABA – Eksekutif Alibaba Dipanggil oleh Otoritas China Atas Pencurian Data Polisi, Sumber Mengatakan — WSJ
https://blinks.bloomberg.com/news/stories/RF0OJK0799MT
Eksekutif Alibaba Dipanggil oleh Otoritas China Atas Pencurian Data Polisi, Sumber Mengatakan — WSJ
Oleh Karen Hao
(Dow Jones) — HONG KONG — Eksekutif dari divisi cloud Alibaba Group Holding Ltd. telah dipanggil untuk melakukan pembicaraan oleh otoritas Shanghai sehubungan dengan pencurian database polisi yang luas, menurut orang-orang yang mengetahui masalah tersebut, menambahkan urgensi untuk penyelidikan internal oleh raksasa teknologi China tentang bagaimana salah satu pencurian data terbesar dalam sejarah dibiarkan terjadi.
Penyelidikan berkisar pada cache data sensitif polisi Shanghai pada sekitar satu miliar warga China, yang ditawarkan untuk dijual secara online dengan harga sekitar $200,000 pada akhir Juni. Peneliti keamanan siber mengatakan dasbor untuk mengelola basis data telah dibiarkan terbuka di internet publik tanpa kata sandi selama lebih dari setahun, sehingga memudahkan untuk mencuri dan menghapus isinya.
Berdasarkan pemindaian database, para peneliti menyimpulkan bahwa itu di-host di platform cloud Alibaba. Karyawan perusahaan juga mengkonfirmasi hubungan tersebut.
Manajer senior dari Alibaba dan unit cloud-nya berkumpul secara virtual untuk merumuskan tanggapan darurat pada 1 Juli, setelah penjual anonim memposting iklan untuk data dan memberikan sampelnya di forum kejahatan dunia maya, menurut orang-orang yang diberi pengarahan pada pertemuan tersebut.
Eksekutif yang dipanggil untuk pertemuan dengan otoritas Shanghai termasuk Wakil Presiden Alibaba Cloud Chen Xuesong, yang baru-baru ini dipekerjakan untuk memimpin bisnis keamanan publik digital unit tersebut, menurut orang-orang yang mengetahui masalah tersebut.
Chen tidak bisa dihubungi untuk dimintai komentar. Alibaba dan pemerintah Shanghai tidak segera menanggapi permintaan komentar.
Sejak pencurian itu ditemukan, para insinyur Alibaba telah menonaktifkan sementara semua akses ke database yang dilanggar dan telah mulai memeriksa kode terkait, beberapa karyawan yang mengetahui tanggapan tersebut mengatakan. Alasan pelanggaran belum ditentukan, kata mereka.
Dua perusahaan keamanan siber mengatakan kepada The Wall Street Journal bahwa data yang dicuri telah disimpan di cloud Alibaba menggunakan teknologi yang sudah ketinggalan zaman selama beberapa tahun dan tidak memiliki fitur keamanan dasar, menurut analisis metadata database — bagian dari pola yang mereka deteksi dengan lebih dari selusin. database lain yang diselenggarakan oleh perusahaan.
Alibaba tidak menanggapi permintaan untuk mengomentari temuan perusahaan.
Berdasarkan sampel yang diberikan oleh penjual, data yang dicuri diyakini berisi nama, nomor ID pemerintah, dan nomor telepon sebagian besar warga Tiongkok, termasuk anak di bawah umur, serta catatan kejahatan yang dilaporkan ke polisi Shanghai dan informasi sensitif lainnya. . Meskipun merupakan hal yang umum di seluruh dunia jika database dibiarkan tidak aman, para peneliti keamanan siber mengatakan bahwa mereka terkejut melihat sejumlah besar informasi sensitif tingkat ini yang ditetapkan untuk diambil.
Pelanggaran tersebut telah menyoroti volume data yang dikumpulkan oleh otoritas China melalui sistem pengawasan digital nasional negara itu, serta kesulitan yang dihadapi pemerintah dalam menjaga keamanan data tersebut.
Sebuah laporan yang diterbitkan oleh National Academy of Governance yang disponsori negara China pada bulan November memperingatkan bahwa kurangnya profesional yang mampu menangani sistem digital dan kurangnya koordinasi dengan pemasok teknologi merusak upaya pemerintah untuk menggunakan teknologi untuk mengelola masyarakat secara lebih efisien.
Chen, eksekutif Alibaba Cloud yang dipanggil oleh otoritas Shanghai, sebelumnya bekerja sebagai insinyur yang didanai pemerintah di bidang keamanan publik dan teknologi informasi, menurut karyawan yang mengetahui latar belakangnya. Tidak dapat ditentukan apa yang dibicarakan dalam pertemuan mereka.
Saat penyelidikan berlanjut, Alibaba Cloud memerintahkan staf untuk meninjau detail seperti arsitektur basis data dan konfigurasi dalam kontrak dengan klien utama, terutama mereka yang memiliki sumber daya cloud pribadi khusus seperti lembaga pemerintah dan lembaga keuangan, menurut karyawan yang mengetahui masalah tersebut dan cloud pelanggan.
Baik Alibaba maupun polisi Shanghai tidak mengomentari penemuan para peneliti keamanan siber minggu lalu bahwa dasbor untuk database polisi yang dicuri dibiarkan tanpa kata sandi.
Menurut peneliti di LeakIX dan SecurityDiscovery, dua perusahaan keamanan siber yang memindai web untuk basis data yang tidak aman, dasbornya tidak memiliki kata sandi, dan tidak ada cara untuk menambahkannya.
Basis data yang disediakan Alibaba untuk menyimpan data dan dasbor untuk mengakses dan mengelolanya menggunakan versi produk yang sudah ketinggalan zaman beberapa tahun, kata para peneliti. Versi tersebut tidak menyertakan fitur keamanan apa pun, seperti perlindungan kata sandi, tanpa add-on terpisah yang tidak pernah diinstal, kata mereka.
Add-on yang hilang tidak masalah untuk database, yang disimpan di server pribadi yang aman, tetapi dasbor dipasang di internet publik, bertindak seperti pintu terbuka ke brankas data dan memungkinkan informasi di dalamnya diekspor tidak terbebani.
Basis data juga tidak memiliki sertifikat keamanan terbaru, pengidentifikasi digital unik yang digunakan untuk mengenkripsi lalu lintas web yang telah menjadi praktik standar. Alibaba terakhir menyebarkan sertifikat baru pada September 2017, yang kedaluwarsa setahun kemudian dan tidak pernah diperbarui, menurut para peneliti.
Ketergantungan pada sertifikat yang kedaluwarsa tidak meningkatkan kerentanan database tetapi menunjukkan bahwa pemeliharaan telah diabaikan, kata Gregory Boddin, chief technology officer LeakIX. “Tidak ada pemeliharaan apa pun di atasnya,” katanya, setidaknya selama empat tahun terakhir.
LeakIX dan SecurityDiscovery keduanya mengatakan mereka menemukan 13 database lain yang dihosting Alibaba yang menggunakan versi usang yang sama dari database dan produk dasbor, dan yang telah diatur secara identik dengan database di server pribadi dan dasbor di internet publik. Semua 13 juga berbagi sertifikat yang sama yang kemudian kedaluwarsa, yang menghasilkan praktik terbaik untuk keamanan, kata Boddin.
Hampir semua dibiarkan terbuka selama setahun, menurut catatan LeakIX. Dua berisi lebih banyak data daripada 23 terabyte yang dicuri dari polisi Shanghai: Satu memiliki lebih dari 60 terabyte, sementara yang lain memiliki lebih dari 92 terabyte.
“Bahkan satu hari sudah cukup untuk database sebesar itu untuk diambil dan dikumpulkan oleh aktor jahat,” kata Bob Diachenko, pemilik SecurityDiscovery.
Pada awal Juli, tak lama setelah kebocoran mulai mendapatkan perhatian luas di media sosial, Alibaba memutuskan akses publik ke semua 14 basis data, kata Tuan Boddin dan Diachenko.
Pendiri Alibaba Jack Ma adalah penginjil awal penggunaan data dalam kepolisian dan kontrol sosial. Pada tahun 2016, ia menyampaikan pidato kepada 1,5 juta pejabat politik dan hukum di mana ia mengatakan analisis sejumlah besar data akan membantu badan keamanan publik melacak pencuri dan memprediksi serangan teroris sebelum terjadi.
Alibaba Cloud adalah penyedia layanan cloud publik terbesar di China, tetapi tertinggal jauh di belakang pesaing seperti Huawei Technologies Co. dalam melayani klien yang menuntut sistem cloud pribadi mereka sendiri, menurut think tank CCW Research yang didukung pemerintah. Bisnis cloud Alibaba menghasilkan keuntungan pada kuartal yang berakhir Maret, menjadikannya penyedia layanan cloud China pertama yang menghasilkan uang dari sektor penghasil uang.
Alibaba sebelumnya telah menghadapi pengawasan atas praktik keamanan datanya. Pada bulan Desember, kementerian China yang bertanggung jawab atas teknologi menangguhkan kemitraan keamanan siber dengan unit komputasi awan Alibaba selama enam bulan setelah Beijing menuduh perusahaan tersebut gagal melaporkan kerentanan perangkat lunak global padanya secara tepat waktu.
Tahun lalu, di bawah tekanan dari regulator telekomunikasi lokal, perusahaan mengungkapkan insiden 2019 di mana seorang karyawan telah membocorkan informasi kontak klien ke distributor.
Awal pekan ini, otoritas Shanghai mengumumkan tinjauan keamanan siber terhadap situs web dan platform utama milik lembaga pemerintah, perusahaan milik negara, perusahaan teknologi besar, dan entitas lainnya, dengan fokus khusus pada semua yang berisi data pribadi lebih dari satu juta orang.
–Raffaele Huang berkontribusi pada artikel ini.
Kirim surat ke Karen Hao di [email protected]
(AKHIR) Dow Jones Newswires
Dikirim pada 14 Juli 2022 pukul 17:37 oleh Street_Country_1266
melalui reddit https://ift.tt/X6ucVkG
