Seseorang yang mengaku sebagai pelajar di Singapura telah merilis dokumen yang menunjukkan kelemahan keamanan pada layanan pemantauan perangkat seluler sekolah yang populer, Mobile Guardian, beberapa minggu sebelum serangan siber di perusahaan tersebut menyebabkan kerusakan dan gangguan yang meluas.
Dalam email yang diperoleh TechCrunch, mahasiswa tersebut – yang menolak disebutkan namanya karena takut akan hukuman hukum – mengatakan bahwa dia memberi tahu pemerintah Singapura melalui email pada akhir Mei tetapi tidak mengonfirmasi bahwa kesalahan tersebut telah diperbaiki. Pemerintah Singapura mengatakan kepada TechCrunch bahwa kelemahan tersebut didasarkan pada serangan siber Mobile Guardian pada tanggal 4 Agustus, namun peneliti mengatakan bahwa kelemahan tersebut mudah ditemukan dan mudah dieksploitasi oleh penyerang yang tidak bermoral, dan dia khawatir akan ada banyak eksploitasi serupa. .
Mobile Guardian yang berbasis di Inggris, yang menyediakan perangkat lunak untuk memantau perangkat siswa di ribuan sekolah di seluruh dunia, mengungkap pelanggaran tersebut pada tanggal 4 Agustus dan menutup platformnya untuk menghentikan proses jahat, namun sebelumnya penyerang memanfaatkan kesempatan mereka untuk melakukan hal tersebut. menghapus ribuan akun. materi siswa.
Sehari kemudian, mahasiswa tersebut mempublikasikan informasi ancaman yang telah ia kirimkan ke Kementerian Pendidikan di Singapura, klien utama Mobile Guardian sejak tahun 2020.
Dalam sebuah postingan di Reddit, siswa tersebut mengatakan bahwa bug yang dia temukan di Mobile Guardian memberi siapa pun yang login sebagai “admin super” akses ke sistem manajemen perusahaan. Dengan akses ini, kata siswa tersebut, orang yang jahat dapat melakukan hal-hal yang hanya dilakukan oleh administrator sekolah, termasuk kemampuan untuk “mendesain ulang materi pembelajaran setiap orang,” katanya.
Pelajar tersebut menulis bahwa dia melaporkan masalah tersebut ke Kementerian Pendidikan Singapura pada tanggal 30 Mei. Tiga minggu kemudian, kementerian menanggapi pelajar tersebut dengan mengatakan bahwa permasalahan tersebut “tidak lagi menjadi perhatian,” namun menolak untuk menjelaskan lebih lanjut, dengan alasan “sensitivitas komersial,” menurut ke email yang dilihat oleh TechCrunch.
Ketika dihubungi oleh TechCrunch, kementerian mengkonfirmasi bahwa mereka telah menerima informasi tentang bug tersebut dari seorang peneliti keamanan, dan bahwa “ancaman tersebut dianggap sebagai bagian dari langkah-langkah keamanan sebelumnya, dan telah diterapkan,” juru bicara Christopher Lee.
“Kami juga mengonfirmasi bahwa informasi di atas tidak berfungsi setelah patch. Pada bulan Juni, penguji independen melakukan pengujian lagi, dan tidak ditemukan kerentanan seperti itu,” kata juru bicara tersebut.
“Namun, kami tahu bahwa serangan dunia maya dapat terjadi dengan cepat dan ancaman baru dapat ditemukan,” katanya, seraya menambahkan bahwa kementerian tersebut “menanggapi pengungkapan tersebut dengan serius dan akan menyelidikinya secara menyeluruh.”
Bug tersebut dapat digunakan pada browser siapa pun
Siswa tersebut menjelaskan bug tersebut kepada TechCrunch sebagai peluang untuk meningkatkan akses pelanggan, yang memungkinkan siapa pun yang online untuk membuat akun pengguna Mobile Guardian baru dengan akses super istimewa ke alat browser mereka. Hal ini karena server Mobile Guardian diduga tidak melakukan pemeriksaan keamanan yang tepat dan mengandalkan respons dari browser pengguna.
Kerentanan ini berarti bahwa server dapat diakali agar menerima jumlah maksimum sistem untuk akun pengguna dengan mengubah nomor jaringan di browser.
TechCrunch diberikan video — direkam pada 30 Mei, hari pengungkapannya — yang menunjukkan cara kerja bug tersebut. Video tersebut menunjukkan pengguna membuat akun “admin super” menggunakan alat yang disediakan browser untuk mengubah jumlah hak istimewa jaringan yang menjadi tanggung jawab pengguna guna meningkatkan hak istimewa akun dari “admin” menjadi “admin super”.
Video tersebut menunjukkan server menerima permintaan jaringan yang dimodifikasi, dan setelah masuk ke akun “admin super” yang baru dibuat, server tersebut menawarkan untuk menampilkan daftar sekolah yang terdaftar di Mobile Guardian.
CEO Mobile Guardian Patrick Lawson tidak menanggapi beberapa permintaan komentar sebelum dipublikasikan, termasuk pertanyaan tentang laporan kerentanan siswa dan apakah perusahaan telah memperbaiki bug tersebut.
Saat dihubungi oleh Lawson, perusahaan mengubah pernyataannya menjadi berikut: “Investigasi internal dan pihak ketiga terhadap ancaman sebelumnya terhadap Platform Mobile Guardian telah mengonfirmasi bahwa ancaman tersebut telah diselesaikan dan tidak lagi menjadi ancaman.” Pernyataan tersebut tidak menyebutkan kapan pelanggaran sebelumnya diselesaikan dan pernyataan tersebut tidak menjelaskan apakah ada hubungan antara pelanggaran sebelumnya dan serangan siber yang dilakukannya pada bulan Agustus.
Ini merupakan insiden keamanan kedua yang melibatkan Mobile Guardian tahun ini. Pada bulan April, Kementerian Pendidikan Singapura mengkonfirmasi bahwa database perusahaan telah diretas dan informasi orang tua serta staf sekolah dari ratusan sekolah di Singapura telah dibobol. Kementerian mengatakan hal ini merupakan pelanggaran kebijakan privasi Mobile Guardian, bukan kerentanan dalam sistemnya.
Tahukah Anda lebih banyak tentang serangan siber Mobile Guardian? Apakah Anda khawatir? Hubungi satu sama lain. Anda dapat menghubungi reporter ini di Signal dan WhatsApp di +1 646-755-8849, atau melalui email. Anda dapat mengirim file dan dokumen melalui SecureDrop.
