Geger! Mantan Eksekutif IBM Ungkap Skandal Kebocoran Data Rahasia

Raksasa teknologi global, IBM, tengah diterpa tudingan serius terkait dugaan penyembunyian kasus kebocoran data berskala besar. Seorang mantan eksekutif keamanan siber perusahaan tersebut menuduh IBM telah diretas setidaknya tiga kali oleh entitas pemerintah asing dalam satu dekade terakhir, namun secara sengaja menutup-nutupi insiden tersebut dari publik dan otoritas.

Tudingan mengejutkan ini muncul dari William Barlow, yang menjabat sebagai Wakil Presiden Intelijen Ancaman IBM hingga Agustus 2019. Dalam sebuah gugatan hukum yang diajukan pada tahun 2020 namun baru dibuka pekan ini, Barlow mengklaim bahwa IBM menyimpulkan peretas Tiongkok telah menembus jaringan inti perusahaan antara tahun 2013 hingga 2016. Lebih jauh, ia menyatakan bahwa perusahaan sengaja menyembunyikan kebocoran ini dan tidak pernah mengungkapkannya kepada pihak manapun.

Barlow juga menyebutkan bahwa setidaknya dua anak perusahaan IBM turut menjadi korban peretasan, dan lagi-lagi, IBM dituding melakukan penutupan informasi serupa. "Jaringan inti IBM secara rutin diretas oleh aktor-aktor negara asing dan pihak lainnya," demikian bunyi keluhan Barlow dalam gugatannya. Ia menambahkan bahwa data sering dicuri dan lembaga pemerintah "tidak pernah diberitahu" mengenai insiden-insiden tersebut.

Meskipun dugaan kebocoran data ini terjadi lebih dari satu dekade yang lalu, berita ini kembali menyoroti praktik penyembunyian insiden siber yang terkadang menimpa perusahaan teknologi besar sekelas IBM. Seringkali, insiden semacam ini tidak pernah diungkapkan, baik kepada publik maupun kepada otoritas pemerintah yang berwenang. Kasus ini menjadi semakin krusial mengingat IBM adalah vendor keamanan siber utama bagi pemerintah federal Amerika Serikat, menjadikan dugaan penutupan informasi ini sangat signifikan.

Dalam beberapa tahun terakhir, berbagai undang-undang baru terkait notifikasi kebocoran data telah disahkan untuk mengatasi masalah ini, mendorong transparansi dan akuntabilitas. Berita mengenai gugatan ini pertama kali dilaporkan oleh Bloomberg, menandai dimulainya sorotan media terhadap dugaan praktik tidak etis IBM.

Menanggapi tudingan ini, pihak IBM melalui juru bicaranya, Miki Carver, menolak untuk menjawab pertanyaan spesifik mengenai gugatan atau tuduhan yang mendasarinya. "Keluhan ini diajukan enam tahun lalu, dan Departemen Kehakiman AS menolak untuk campur tangan," kata Carver kepada TechCrunch. Ia menambahkan, "IBM yakin bahwa tindakan kami telah sesuai dengan hukum yang berlaku." Pernyataan ini mengindikasikan bahwa meskipun Departemen Kehakiman tidak ikut campur dalam gugatan perdata tersebut, IBM meyakini pihaknya tidak melanggar regulasi.

Secara khusus, Barlow mengungkapkan bahwa IBM adalah salah satu dari beberapa korban kampanye peretasan yang dilakukan oleh APT 10, sebuah kelompok yang terafiliasi dengan pemerintah Tiongkok. Christopher Wray, Direktur FBI pada saat itu, pernah menyebut kelompok ini menargetkan "kalangan elite ekonomi global" ketika para anggotanya didakwa pada tahun 2018. Peretas berhasil menembus jaringan perusahaan IBM dan data yang dikelola bersama dengan AT&T.

Menurut Barlow, pada Maret 2017, pejabat intelijen dari aliansi Five Eyes – yang terdiri dari Amerika Serikat, Inggris, Kanada, Australia, dan Selandia Baru – telah memperingatkan IBM mengenai kebocoran tersebut. Peringatan ini kemudian memicu penyelidikan internal di dalam perusahaan.

Gugatan itu merinci bahwa penyelidikan internal menyimpulkan APT 10 berpotensi telah menembus jaringan IBM lebih dari 56.000 kali antara tahun 2013 dan 2016. Namun, yang lebih mencengangkan, perusahaan menyatakan tidak dapat melakukan penyelidikan lebih lanjut karena tidak menyimpan log akses jaringan dan informasi waktu akses — sebuah praktik keamanan dasar yang seharusnya wajib dipenuhi oleh perusahaan teknologi mana pun, apalagi yang bergerak di bidang keamanan siber.

IBM kemudian diduga gagal memberitahukan otoritas terkait atau pemerintah AS, salah satu pelanggan utamanya, mengenai insiden peretasan tersebut. "Infrastruktur Jaringan Inti IBM dan AT&T yang kuno telah memungkinkan peretas untuk mendapatkan akses ke sistem pada banyak kesempatan dan dapat menjelajah hampir di mana saja tanpa terdeteksi," demikian kutipan dari gugatan, yang menjelaskan bahwa penyelidikan internal IBM menyimpulkan empat server dikompromikan dalam kampanye peretasan APT 10.

"Para penyerang telah membobol dan/atau mengakses hampir 400 akun yang dikompromikan dan hampir 200 total sistem dan server di setiap unit bisnis IBM, delapan belas negara, dan berbagai produk IBM," bunyi laporan internal IBM tentang penyelidikan kebocoran tersebut, yang dikutip dalam gugatan. Fakta ini menunjukkan skala dan cakupan peretasan yang sangat luas.

Jason Brown, pengacara yang mewakili Barlow, menyatakan kepada TechCrunch bahwa pihaknya "berharap untuk menindaklanjuti kasus ini dengan agresif." Brown menambahkan, "Anda tidak bisa menjual layanan keamanan siber kepada pemerintah federal sementara Anda sendiri diduga memiliki masalah keamanan di dalam perusahaan Anda." Pernyataan ini menegaskan konflik kepentingan dan masalah integritas yang dipertaruhkan IBM.

Selain insiden yang melibatkan jaringan inti, Barlow juga menyebutkan kebocoran lain yang ia ketahui. Kebocoran ini mempengaruhi Trusteer, sebuah startup keamanan siber yang diakuisisi IBM pada tahun 2013, yang menurutnya diretas pada tahun 2018. Selain itu, Truven, startup data kesehatan yang diakuisisi IBM pada tahun 2016, juga diduga mengalami peretasan berkali-kali setelah akuisisi.

Dalam kedua kasus tersebut, Barlow menuding IBM gagal melakukan penyelidikan yang tepat dan tidak mengungkapkan kebocoran data ini kepada pihak yang seharusnya mengetahui. Tuntutan ini secara keseluruhan melukiskan gambaran kelalaian serius dalam praktik keamanan dan transparansi data di salah satu perusahaan teknologi terbesar dunia.