Havedev Logo
← Back to Blog

Havedev

Zero-Day PeopleSoft Mengingatkan Bisnis bahwa Sistem HR Juga Pintu Risiko

Zero-Day PeopleSoft Mengingatkan Bisnis bahwa Sistem HR Juga Pintu Risiko

Oracle memperingatkan pelanggan korporatnya tentang kerentanan kritis di PeopleSoft, software yang banyak dipakai perusahaan besar untuk mengelola payroll dan human resources.

Peringatan ini muncul setelah kelompok cybercrime ShinyHunters mengklaim telah membobol lebih dari 100 organisasi yang menggunakan server PeopleSoft. Menurut Mandiant, unit keamanan milik Google, celah yang diumumkan Oracle adalah bug yang sama dengan yang sedang dieksploitasi dalam kampanye serangan tersebut.

Yang membuat kasus ini serius bukan hanya nama besar Oracle atau jumlah organisasi yang disebut terdampak. Bug ini dapat dieksploitasi lewat internet tanpa autentikasi. Artinya, penyerang tidak perlu password lebih dulu untuk mencoba masuk ke sistem yang rentan.

Pada saat berita ditulis, Oracle belum merilis patch, tetapi sudah memberikan mitigasi yang perlu diterapkan pelanggan. Ini membuat banyak organisasi berada di posisi yang tidak nyaman: sistem penting sudah diketahui rentan, eksploitasi sudah terjadi, tetapi perbaikan final belum tersedia.

The Core Update

PeopleSoft bukan aplikasi pinggiran. Di banyak organisasi besar, sistem seperti ini menyimpan data yang sangat sensitif: data karyawan, payroll, informasi HR, dan dalam konteks institusi pendidikan, bisa juga bersinggungan dengan data mahasiswa.

ShinyHunters mengklaim beberapa korban berasal dari universitas dan college. Mandiant juga menyebut telah memberi tahu lebih dari 100 organisasi global, dengan sekitar dua pertiga berada di sektor pendidikan tinggi.

Dalam salah satu pesan yang diklaim dikirim ke korban, pelaku menyebut data yang dicuri mencakup ratusan ribu catatan mahasiswa, termasuk nama lengkap, alamat rumah, nomor telepon, email, tanggal lahir, gender, etnis, status enrollment, GPA, jurusan, dan student ID.

Detail seperti ini penting karena menunjukkan satu hal: ketika sistem internal bocor, dampaknya tidak selalu terbatas pada tim IT. Risiko bisa langsung menyentuh karyawan, mahasiswa, pelanggan, dan reputasi organisasi.

Serangan ini juga mengikuti pola yang sama dengan beberapa kampanye sebelumnya. ShinyHunters mencari software yang dipakai banyak organisasi, menemukan celah atau titik lemah yang sama, lalu menyerang banyak target sekaligus. Sebelumnya, kelompok ini dikaitkan dengan kampanye terhadap organisasi yang menggunakan Salesforce, Gainsight, dan Instructure.

Dengan kata lain, ini bukan sekadar cerita tentang satu server yang lupa diperbarui. Ini cerita tentang risiko yang menyebar lewat software bersama.

The Reality Check

Banyak organisasi masih melihat sistem HR, payroll, student portal, atau aplikasi enterprise internal sebagai bagian dari operasi administratif. Penting, tetapi sering tidak diperlakukan sebagai permukaan serangan utama.

Padahal justru sistem seperti ini sering menyimpan data paling bernilai.

Website publik mungkin lebih terlihat. Aplikasi customer-facing mungkin lebih sering dibahas. Tetapi sistem HR dan payroll menyimpan identitas orang, struktur organisasi, data pembayaran, alamat, kontak, dan riwayat administratif yang bisa dipakai untuk pemerasan, phishing, social engineering, atau pencurian identitas.

Masalahnya, sistem enterprise biasanya panjang umurnya. Ia dipasang bertahun-tahun, diintegrasikan dengan banyak proses, diakses oleh banyak unit, lalu perlahan menjadi infrastruktur yang dianggap “memang sudah ada”.

Di titik itu, risiko mulai tumbuh.

Bukan karena tim IT tidak peduli. Sering kali masalahnya lebih sederhana: tidak semua organisasi punya visibilitas yang cukup jelas atas sistem mana yang terekspos ke internet, versi mana yang sedang berjalan, mitigasi mana yang sudah diterapkan, dan siapa yang harus mengambil keputusan saat patch belum tersedia.

Kasus PeopleSoft ini juga mengingatkan bahwa patch management saja tidak cukup kalau organisasi tidak tahu aset mana yang rentan.

Ketika vendor mengeluarkan advisory, pertanyaan pertama bukan hanya “apakah ada patch?” tetapi:

  • apakah kita memakai software ini?
  • server mana yang terdampak?
  • apakah server tersebut bisa diakses dari internet?
  • data apa yang tersimpan atau terhubung di sana?
  • mitigasi sementara apa yang harus diterapkan hari ini?
  • siapa yang memverifikasi bahwa mitigasi benar-benar aktif?
  • apakah ada tanda akses mencurigakan sebelum advisory keluar?

Tanpa jawaban cepat untuk pertanyaan seperti ini, organisasi akan selalu tertinggal satu langkah dari penyerang.

The Havedev Way

Dari sudut pandang Havedev, pelajaran paling penting dari kasus ini bukan “jangan pakai software enterprise”. Itu kesimpulan yang terlalu mudah dan tidak realistis.

Software besar seperti PeopleSoft, Salesforce, Gainsight, Instructure, atau sistem internal lain memang sering menjadi tulang punggung operasi. Masalahnya bukan pada penggunaan tool besar, tetapi pada cara organisasi membaca risiko di sekeliling tool tersebut.

Setiap bisnis perlu memperlakukan sistem penting sebagai aset yang punya status keamanan yang jelas.

Bukan hanya status teknis seperti “aktif” atau “tidak aktif”. Tetapi status yang bisa membantu keputusan:

  • terekspos ke internet atau hanya internal
  • menyimpan data sensitif atau tidak
  • memakai versi terbaru atau tertinggal
  • memiliki patch tertunda atau tidak
  • punya mitigasi sementara atau belum
  • sudah diperiksa log aksesnya atau belum
  • punya owner teknis yang jelas atau tidak

Status seperti ini terdengar sederhana, tetapi sering menentukan kecepatan respons saat insiden terjadi.

Jika organisasi baru mulai mencari tahu daftar server setelah berita eksploitasi muncul, respons akan lambat. Jika daftar aset, pemilik sistem, dan tingkat sensitivitas data sudah jelas, tim bisa bergerak lebih cepat: membatasi akses, menerapkan mitigasi, memeriksa log, menghubungi vendor, dan menyiapkan komunikasi internal.

Untuk bisnis yang belum punya proses keamanan matang, langkah awal tidak harus langsung kompleks. Mulai dari inventaris sistem yang paling dekat dengan data sensitif.

Biasanya termasuk:

  • HR dan payroll
  • finance dan invoice
  • CRM dan sales pipeline
  • customer support
  • learning management system
  • internal admin dashboard
  • website dan form lead
  • sistem integrasi API

Setelah itu, tandai mana yang bisa diakses dari internet, mana yang menyimpan data pribadi, dan mana yang bergantung pada vendor pihak ketiga.

Ini bukan pekerjaan dokumentasi semata. Ini fondasi agar bisnis tidak panik setiap kali ada advisory keamanan baru.

Automation juga bisa membantu, tetapi hanya setelah struktur dasarnya jelas. Monitoring vulnerability, alert dari vendor, scanning aset, dan dashboard keamanan akan lebih berguna kalau organisasi sudah tahu aset mana yang penting dan siapa pemilik tindak lanjutnya.

Tanpa itu, alert hanya menjadi notifikasi tambahan yang mudah diabaikan.

Kasus Oracle PeopleSoft menunjukkan bahwa serangan modern sering tidak dimulai dari target yang dipilih satu per satu. Penyerang mencari pola: software yang sama, konfigurasi yang sama, celah yang sama, lalu mengeksploitasi sebanyak mungkin organisasi sebelum pertahanan mengejar.

Karena itu, bisnis perlu berhenti melihat keamanan sebagai respons setelah insiden. Keamanan perlu menjadi bagian dari cara membaca operasi sehari-hari.

Sistem mana yang penting? Data apa yang ada di dalamnya? Siapa owner-nya? Apakah terekspos? Apakah status patch-nya jelas? Apakah log-nya dicek saat ada indikasi eksploitasi?

Pertanyaan ini tidak sepopuler pembahasan AI, dashboard, atau automation. Tetapi ketika zero-day muncul, pertanyaan sederhana seperti ini yang menentukan apakah organisasi bisa bergerak cepat atau hanya menunggu kabar buruk.

Penutupnya sederhana: bisnis tidak bisa mengontrol kapan vendor menemukan celah keamanan. Tetapi bisnis bisa mengontrol seberapa siap mereka membaca aset, membatasi akses, menerapkan mitigasi, dan memeriksa dampak.

Dalam kasus seperti PeopleSoft, yang paling berbahaya bukan hanya bug-nya. Yang lebih berbahaya adalah ketika organisasi tidak tahu apakah mereka terdampak, siapa yang bertanggung jawab, dan langkah apa yang harus dilakukan hari ini.

Dapatkan Audit Teknis Gratis untuk meninjau sistem, website, integrasi, dan alur data yang berpotensi menjadi titik risiko sebelum masalah keamanan berubah menjadi krisis operasional.

Sumber referensi berita: TechCrunch

Continue Reading

All Articles Category: Security