Informasi Yang didapat :
Compressed................... 40 MB
Uncompressed................. 189 MB
Total........................ 679,180
Breach date.................. Sept, 2022
Format....................... CSV
Compromised data............. tittle of the letter, letters number, suggestion, sender, receiver employee id, letter date etc
Country...................... Indonesia
File sharing................. GoFile.io
Data :
status_process | “title” | “id” | “member_process_date” | “data_id” | “create_date” | “no_surat” | “pengirim” | “member_nip” | “suggestion” | “member_id” | “tgl_surat” | “data_qrcode” |
1 | Surat rahasia kepada Mensesneg dalam amplop tertutup | 1925 | 05/03/2021 15:27 | 322 | 31/07/2019 10:17 | – | Badan Intxxxxxn Negara | 196202131986xxx000 | surat rahasia kepada mensesneg dalam amplop tertutup | 3725 | 31/07/2019 00:00 | 19ED-E7CQDO |
.. | .. | .. | .. | .. | .. | .. | .. | .. | .. | .. | .. | .. |
X = Masking
Insight Data:
Analisis Data Source
Dugaan awal setelah melihat insight data tersebut menunjukkan bahwa data yang bocor merupakan data terkait administrasi persuratan, hal itu terlihat pada atribut di dalam database seperti status proses, no surat, pengirim, data qr code, dsb. Biasanya atribut seperti itu dipakai dalam membuat sistem aplikasi persuratan.
Jika melihat langsung dari data terbanyak, kebanyakan surat berasal dari lembaga internal di Kementerian Sekretariat Negara, jadi ada kemungkinan bahwa data yang bocor merupakan data yang berasal dari Kementerian Sekretariat Negara.
Analisis OSINT
Dari pencarian osint, diketahui bahwa kebanyakan IP Milik Kementerian Sekretariat Negara akan melakukan blocking pada IP yang tidak dikenal ketika dibuka, hal itu kemungkinan merupakan rules dari firewall server milik Kementerian Sekretariat Negara yang hanya memperbolehkan akses dari jaringan Internal.
Hal itu juga diperkuat dengan informasi bahwa terdapat BIG-IP F5 VPN Server yang terpasang pada server milik Kementerian Sekretariat Negara, Kemungkinan aplikasi hanya diakses pada jaringan internal saja.
Tampilan awal Login VPN Menunjukan Copyright Systems di tahun 2014, Ada dugaan bahwa VPN Server tersebut rentan untuk Compromise dari serangan akibat vulnerability dari BIG-IP F5 versi lama, seperti misalnya CVE-2022-1388 yang memungkinkan untuk melakukan serangan RCE dan masuk ke dalam jaringan internal dari VPN Tersebut.
Melalui pencarian Google, diketahui bahwa Kementerian Sekretariat Negara memiliki aplikasi Sistem Persuratan dan Disposisi Online (SPDE OPEN) dimana aplikasi ini melakukan inventaris semua kegiatan yang berkaitan dengan persuratan di lingkungan Kementerian Sekretariat Negara.
Setelah melakukan pencarian lebih jauh terkait SPDE Open ini, ditemukan halaman pages dari developer (Vendor) pembuat aplikasi SPDE OPEN Ini.
Dari tampilan screenshot pada halaman portofolio tersebut, diketahui bahwa ada kemiripan antara data yang beredar di internet dengan fungsi-fungsi yang ada di dalam sistem tersebut.
Audiensi:
dst…
Permohonan Kehadiran Presiden:
dst..
Undangan Pernikahan:
dst..
Kunjungan ke Luar Negeri:
dst..
Narasumber/Wawancara:
dst..
Amanat/Kata Pengantar/Sambutan Tertulis:
Dan lain sebagainya,
Data diatas tersebut hanya sampel dari data yang beredar di internet untuk mencocokan kesesuaian data dengan informasi panel yang ada pada screenshot aplikasi SPDE OPEN Milik Kementerian Sekretariat Negara.
UPDATE:
Aplikasi SPDE OPEN ternyata dapat diakses secara publik dengan menggunakan IP dan Port tertentu yang listing di pencarian Google.
Hasil pencarian dari IP Tersebut menunjukan bahwa IP tersebut memiliki asosiasi dengan domain wapresri.go.id, IP Tersbut juga memiliki konfigurasi mikrotik yang aktif serta VPN PPTP.
Diketahui juga dari IP tersebut terdapat firewall dari Bitdefender GravityZone
Dari AbuseIPDB diketahui bahwa IP dari Aplikasi SPDE tersebut memiliki laporan malicious activity sebanyak 21 kali yang kebanyakan melaporkan ada upaya port scanning pada sistem, hal tersebut menunjukan bahwa kemungkinan vpn pptp dari mikrotik tersebut telah mengalami compromise dan digunakan oleh attacker untuk Evasion IP ketika melakukan kejahatan.
Ternyata dalam server yang sama tersebut banyak port yang melakukan serving aplikasi milik Kementerian Sekretariat Negara. Dalam hal ini juga termasuk dengan aplikasi lawas yang tidak digunakan kembali, dalam beberapa pengujian diketahui form dari aplikasi lawas tersebut tidak memiliki input validation/sanitation sehingga kemungkinan dapat dilakukan SQL Injection Pada Sistem lawas tersebut, Hal ini memungkinkan untuk dipakai sebagai celah dari penyerang untuk melakukan lateral movement pada satu aplikasi ke aplikasi lainnya yang dijalankan pada server tersebut (Misal dari Perpustakaan Setwanpres Lawas ke SPDE OPEN).