Startup Tutup, Karyawan PHK Diminta Waspada Jadi Korban Penipuan

Jakarta, CNBC Indonesia - Peneliti keamanan siber menemukan bahwa karyawan di perusahaan rintisan atau startup yang tutup dan kena PHK menjadi sasaran empuk penipu pembobol rekening.

Peneliti menyebut, eks karyawan startup yang tutup sangat berisiko dicuri datanya. Pembobolan itu dilakukan melalui data di aplikasi Slack, hingga nomor Jaminan Sosial, dan rekening bank.

Peneliti yang menemukan masalah ini adalah Dylan Ayrey, salah satu pendiri dan CEO perusahaan rintisan yang didukung oleh Andreessen Horowitz, Truffle Security.

Ayrey menyampaikan hal tersebut pada konferensi keamanan ShmooCon ketika memberikan paparan tentang kelemahan yang dia temukan pada Google OAuth, teknologi di balik "Masuk dengan Google," yang dapat digunakan sebagai pengganti kata sandi.

Ayrey memberikan materi tersebut setelah melaporkan kerentanan kepada Google dan perusahaan lain yang mungkin terkena dampaknya.

Ia menemukan hacker dapat membeli domain yang sudah tidak aktif dari startup yang gulung tikar. Kemudian mereka menggunakannya untuk masuk ke perangkat lunak cloud, di mana setiap karyawan di perusahaan memiliki akses, seperti aplikasi obrolan atau video perusahaan.

Dari sana, banyak aplikasi ini menawarkan direktori perusahaan atau halaman info pengguna di mana peretas dapat menemukan email mantan karyawan startup yang kena PHK.

Berbekal domain dan email-email tersebut, peretas dapat menggunakan opsi "Masuk dengan Google" untuk mengakses banyak aplikasi software cloud perusahaan rintisan, dan sering kali menemukan lebih banyak email karyawan di sana.

Untuk menguji kelemahan yang ditemukannya, Ayrey membeli satu domain startup yang gagal dan dari domain tersebut ia dapat masuk ke ChatGPT, Slack, Notion, Zoom, dan sistem SDM yang berisi nomor Jaminan Sosial karyawan.

"Itu menjadi ancaman terbesar, karena data dari sistem SDM cloud paling mudah dimonetisasi, dan nomor Jaminan Sosial serta informasi perbankan dan apa pun yang ada di dalam sistem SDM kemungkinan besar akan menjadi target," kata Ayrey, dikutip dari TechCrunch, Senin (20/1/2025).

Ia mengatakan akun Gmail lama atau Google Docs yang dibuat oleh karyawan secara pribadi di luar ekosistem perusahaan, atau data apa pun yang dibuat dengan aplikasi Google secara terpisah, tidak berisiko, dan Google mengonfirmasi hal tersebut.

Meskipun setiap startup yang tutup dengan domain yang dijual dapat menjadi sasaran, karyawan mereka sangat rentan karena perusahaan rintisan cenderung menggunakan aplikasi Google dan banyak perangkat lunak awan untuk menjalankan bisnis.

Ayrey menghitung bahwa puluhan ribu mantan karyawan berisiko, serta jutaan akun perangkat lunak SaaS.

Hal ini didasarkan pada penelitiannya yang menemukan 116.000 domain situs web yang saat ini tersedia untuk dijual dari perusahaan rintisan yang gagal.

(fab/fab)

Next Article Kiamat Startup di Depan Mata, Ini Alasan Banyak yang Bangkrut di 2024