Dengan pangsa pasar yang besar, wajar jika Microsoft mengalami banyak pelanggaran data. Berikut adalah beberapa peretasan yang berdampak paling luas.

Microsoft tidak diragukan lagi telah menjadi nama rumah tangga sejak didirikan, namun sejarahnya tidak sepenuhnya bersih. Selama bertahun-tahun, Microsoft telah mengalami banyak sekali insiden keamanan, banyak di antaranya membahayakan data pengguna. Jadi, apa saja peretasan Microsoft terbesar di abad ke-21? Dan apakah raksasa teknologi ini memerlukan keamanan yang lebih baik?

1. Pelanggaran Server Exchange 2021

Pada awal tahun 2021, pada tanggal 3 Januari, server platform Exchange Microsoft mulai disusupi melalui empat kerentanan perangkat lunak zero-day.

Baru pada bulan Maret di tahun yang sama cakupan serangan menjadi jelas, dengan lebih dari 30.000 organisasi yang berbasis di AS diserang melalui kelemahan perangkat lunak dalam kode Microsoft Exchange. Secara keseluruhan, lebih dari 250.000 server Exchange diretas, dan 7.000 di antaranya berbasis di Inggris. Negara-negara lain, termasuk Norwegia dan Chile, juga terkena dampaknya.

Data yang dicuri dalam serangan ini termasuk alamat email dan kata sandi pengguna server. Selain itu, penyerang dapat menambahkan lebih banyak pintu belakang untuk eksploitasi di masa depan.

Tidak butuh waktu lama bagi Microsoft untuk merilis patch yang diperlukan, namun serangan ini menyoroti betapa mudahnya kerentanan dapat menyebabkan kampanye peretasan besar-besaran.

2. Kebocoran 250 Juta Catatan Pelanggan

Pada awal tahun 2020, diketahui bahwa Microsoft secara tidak sengaja membocorkan lebih dari 250 juta catatan pelanggan. Paparan besar ini terjadi akibat database yang tidak dilindungi kata sandi.

Sebagian besar data yang diekspos terdiri dari percakapan antara pengguna dan perwakilan dukungan pelanggan, yang terjadi antara tahun 2005 dan 2019. Namun, informasi yang lebih sensitif dirilis dalam kasus tertentu, termasuk IP pelanggan dan alamat email.

Hanya butuh 24 jam bagi Microsoft untuk mengamankan database, tapi saat ini sudah terlambat.

3. Kebocoran Kredensial Hotmail 2016

Pada bulan Mei 2016, banyak outlet berita mulai melaporkan peretasan besar-besaran yang mengakibatkan kebocoran kredensial pengguna dari Google, Yahoo, dan Microsoft. Lebih dari 270 juta kredensial akun dicuri dan dijual di pasar gelap Rusia. 33 juta di antaranya adalah kredensial Hotmail, layanan email yang dibeli oleh Microsoft pada tahun 1997.

Untungnya, peretas yang awalnya memiliki kredensial tersebut menjualnya ke perusahaan keamanan secara menyamar, alih-alih individu jahat lainnya yang ingin mengeksploitasinya.

4. Pelanggaran Data Lapsu$ 2022

Pada bulan Maret 2022, Microsoft mengonfirmasi bahwa mereka telah diserang oleh a kelompok hacker terkenal disebut "Lapsu$". Sindikat peretasan internasional ini terkenal dengan menyasar banyak nama besar, termasuk Nvidia dan Samsung.

Meskipun Lapsu$ dulunya menyasar organisasi-organisasi di Amerika Selatan dan Inggris, mereka kini mengincar korban lainnya, termasuk mereka yang berasal dari Amerika Serikat. Kelompok peretas kurang ajar ini mengalihkan fokusnya ke Microsoft pada awal tahun 2022.

Dalam hal ini, Lapsu$ (dikenal secara resmi oleh Microsoft sebagai "DEV-0537") berhasil menyusupi satu akun karyawan Microsoft dan mengakses bagian kode sumber Bing, Bing Maps, dan Cortana.

Konfirmasi Microsoft datang setelah Lapsu$ menerbitkan kode sumber curian ini dalam file torrent. Namun, Microsoft menuduh dalam a postingan blog mengenai kejadian pencurian dan kebocoran kode sumber tidak menimbulkan risiko keamanan bagi perusahaan atau penggunanya.

5. Pelanggaran Zero-Day 2010

Pada akhir tahun 2009, Microsoft menyadari adanya masalah kritis kerentanan keamanan zero-day. Perusahaan tidak mengambil tindakan apa pun hingga tahun berikutnya ketika perusahaan seperti Google dan Adobe mulai menjadi sasaran penjahat dunia maya melalui kerentanan tersebut.

Cacat ini memungkinkan pelaku jahat menyebarkan malware ke perangkat karyawan perusahaan target. Perangkat lunak berbahaya kemudian akan dimanfaatkan untuk mengakses informasi pribadi dari Google dan Gmail.

Pelanggaran ini membuat Microsoft terlihat sangat buruk karena cara perusahaan menangani masalah tersebut. Baru pada bulan Januari 2010, tiga bulan setelah mengetahui kerentanannya, Microsoft merilis patch. Yang lebih parahnya adalah Microsoft awalnya berencana merilis patch tersebut sebulan kemudian, pada bulan Februari.

6. Serangan Storm0558 2023

Pada tahun 2023, sekitar 25 organisasi, termasuk lembaga pemerintah, diserang melalui dua kerentanan keamanan Microsoft. Aktor jahat, yang berbasis di Tiongkok dan dikenal sebagai Storm0558, berhasil mencuri data dari pelanggan yang menggunakan Outlook Web Access dan Exchange Online.

Microsoft menyatakan bahwa diyakini pelaku ancaman memiliki tujuan spionase. Perusahaan lebih lanjut mengonfirmasi bahwa penyerang telah memperoleh kunci penandatanganan konsumen MSA untuk melakukan serangan.

Menurut a Investigasi ahli, bukan hanya Outlook Web Access dan Exchange Online yang terkena dampak peretasan. Wiz melaporkan bahwa layanan Microsoft lainnya, termasuk Teams, OneDrive, dan SharePoint, juga dapat dieksploitasi menggunakan kunci MSA yang disusupi.

Apakah Microsoft Membutuhkan Keamanan yang Lebih Baik?

Microsoft sama sekali tidak lemah dalam hal keamanan. Perusahaan memastikan bahwa produknya memiliki tingkat perlindungan pengguna yang solid, termasuk otentikasi dua faktor, enkripsi, filter anti-spam, firewall, dan peringatan login.

Tentu saja kehadiran fitur-fitur tersebut akan bergantung pada produk Microsoft apa yang Anda gunakan. Misalnya, sistem operasi Windows dilengkapi dengan perangkat lunak antivirus default, namun Outlook tidak.

Mayoritas serangan yang tercantum di atas terjadi akibat kerentanan perangkat lunak, jadi tampaknya audit kode yang lebih banyak mungkin bisa menjadi jawaban bagi Microsoft. Perusahaan tersebut telah menjalani audit, baik untuk perangkat lunak atau praktik bisnisnya, namun tampaknya masih banyak kerentanan yang berhasil diatasi.

Melepaskan patch keamanan segera setelah kerentanan teridentifikasi juga merupakan tindakan yang bijaksana, meskipun kerentanan tersebut belum disalahgunakan. Hal ini menghilangkan kemungkinan Microsoft atau penggunanya menjadi korban serangan yang disebabkan oleh eksploitasi perangkat lunak.

Namun, praktik ini memerlukan banyak personel dan sumber daya, karena Microsoft memiliki hampir 400 produk perangkat lunak yang tersedia saat ini.

Microsoft Tidak Akan Pernah Kebal terhadap Peretasan

Sekalipun Microsoft mampu meningkatkan keamanannya dua kali lipat, Microsoft masih belum 100 persen kebal dari serangan siber. Sayangnya, tidak ada program perangkat lunak, perangkat, atau komponen yang benar-benar aman dari eksploitasi dengan cara apa pun, baik melalui kerentanan, malware, atau cara lainnya.