Startup Tutup, Karyawan Phk Diminta Waspada Jadi Korban Penipuan

Jakarta, detikai.com - Peneliti keamanan siber menemukan bahwa tenaga kerja di perusahaan rintisan alias startup yang tutup dan kena PHK menjadi sasaran lembek penipu pembobol rekening.

Peneliti menyebut, eks tenaga kerja startup yang tutup sangat berisiko dicuri datanya. Pembobolan itu dilakukan melalui info di aplikasi Slack, hingga nomor Jaminan Sosial, dan rekening bank.

Peneliti nan menemukan masalah ini adalah Dylan Ayrey, salah satu pendiri dan CEO perusahaan rintisan nan didukung oleh Andreessen Horowitz, Truffle Security.

Ayrey menyampaikan perihal tersebut pada konvensi keamanan ShmooCon ketika memberikan paparan tentang kelemahan nan dia temukan pada Google OAuth, teknologi di kembali "Masuk dengan Google," nan dapat digunakan sebagai pengganti kata sandi.

Ayrey memberikan materi tersebut setelah melaporkan kerentanan kepada Google dan perusahaan lain nan mungkin terkena dampaknya.

Ia menemukan hacker dapat membeli domain nan sudah tidak aktif dari startup nan gulung tikar. Kemudian mereka menggunakannya untuk masuk ke perangkat lunak cloud, di mana setiap tenaga kerja di perusahaan mempunyai akses, seperti aplikasi obrolan alias video perusahaan.

Dari sana, banyak aplikasi ini menawarkan direktori perusahaan alias laman info pengguna di mana peretas dapat menemukan email mantan tenaga kerja startup yang kena PHK.

Berbekal domain dan email-email tersebut, peretas dapat menggunakan opsi "Masuk dengan Google" untuk mengakses banyak aplikasi software cloud perusahaan rintisan, dan sering kali menemukan lebih banyak email tenaga kerja di sana.

Untuk menguji kelemahan nan ditemukannya, Ayrey membeli satu domain startup nan kandas dan dari domain tersebut ia dapat masuk ke ChatGPT, Slack, Notion, Zoom, dan sistem SDM nan berisi nomor Jaminan Sosial karyawan.

"Itu menjadi ancaman terbesar, lantaran info dari sistem SDM cloud paling mudah dimonetisasi, dan nomor Jaminan Sosial serta info perbankan dan apa pun nan ada di dalam sistem SDM kemungkinan besar bakal menjadi target," kata Ayrey, dikutip dari TechCrunch, Senin (20/1/2025).

Ia mengatakan akun Gmail lama alias Google Docs nan dibuat oleh tenaga kerja secara pribadi di luar ekosistem perusahaan, alias info apa pun nan dibuat dengan aplikasi Google secara terpisah, tidak berisiko, dan Google mengonfirmasi perihal tersebut.

Meskipun setiap startup nan tutup dengan domain nan dijual dapat menjadi sasaran, tenaga kerja mereka sangat rentan lantaran perusahaan rintisan condong menggunakan aplikasi Google dan banyak perangkat lunak awan untuk menjalankan bisnis.

Ayrey menghitung bahwa puluhan ribu mantan tenaga kerja berisiko, serta jutaan akun perangkat lunak SaaS.

Hal ini didasarkan pada penelitiannya nan menemukan 116.000 domain situs web nan saat ini tersedia untuk dijual dari perusahaan rintisan nan gagal.

(fab/fab)

Next Article Kiamat Startup di Depan Mata, Ini Alasan Banyak nan Bangkrut di 2024