Maine telah menjadikan portal pelaporan pelanggaran data publiknya offline setelah pengungkapan pelanggaran yang bersifat penipuan dipublikasikan di situs web negara bagian tersebut, sehingga mendorong peninjauan prosedur untuk mencegah penyalahgunaan di masa depan.
Kemarin, BleepingComputer melaporkan bahwa pengungkapan pelanggaran data palsu telah dikirimkan ke portal pemberitahuan pelanggaran resmi Maine yang meniru Discord dan platform realitas virtual sosial multipemain VRChat.
Pada saat itu, VRChat mengatakan kepada BleepingComputer bahwa pengajuan tersebut palsu dan dikirimkan menggunakan nama karyawan fiktif.
Dalam sebuah pernyataan yang diterbitkan hari Jumat, Kantor Kejaksaan Agung Maine mengakui bahwa “hoaks” pelanggaran data disampaikan melalui sistem pelaporan negara bagian.
“Kantor Kejaksaan Agung Maine telah mengetahui adanya penyalahgunaan sistem pelaporan pelanggaran data kami,” pernyataan itu berbunyi.
“Setelah percakapan dengan VRChat, salah satu dari dua perusahaan yang terkena dampak, menjadi jelas bahwa pelanggaran data yang dilaporkan adalah tipuan yang disampaikan oleh entitas tak dikenal yang tidak terkait dengan salah satu perusahaan. Laporan palsu ini telah dihapus dari database. Kami tidak mengetahui adanya laporan pelanggaran data sah baru-baru ini baik dari VRChat atau Discord.”
Kantor Kejaksaan Agung mengatakan pihaknya kini telah menonaktifkan sementara akses publik terhadap basis data pemberitahuan pelanggaran sembari meninjau prosedur pelaporan untuk mengurangi pelanggaran serupa di masa depan.
Sebelum penutupan, pemberitahuan pelanggaran yang dikirimkan secara otomatis dipublikasikan ke database publik.
“Kami tidak memiliki pengetahuan independen mengenai pelanggaran tersebut, entitas yang mengirimkan mengisi informasi dan langsung masuk ke situs. Kami akan meninjau yang Anda tandai, terima kasih,” kata Kantor Kejaksaan Agung Maine kepada BleepingComputer.
Pemberitahuan tersebut menyatakan bahwa perusahaan dapat terus menyampaikan pemberitahuan pelanggaran melalui layanan pelaporan, namun masyarakat yang mencari salinan pengungkapan kini harus menghubungi Kejaksaan Agung secara langsung.
Portal pelanggaran data Maine biasanya digunakan oleh jurnalis, peneliti, dan perusahaan intelijen ancaman untuk memantau insiden keamanan yang baru terungkap dan menentukan apakah organisasi melaporkan serangan siber atau pelanggaran data yang memengaruhi konsumen.
Insiden ini menunjukkan bagaimana pengungkapan pelanggaran yang dipublikasikan secara otomatis dapat disalahgunakan untuk menyebarkan informasi yang salah dan merusak reputasi perusahaan.
Itu pengajuan VRChat palsu mengklaim perusahaan tersebut mengalami pelanggaran data yang berdampak pada lebih dari 2,4 juta orang dan menyertakan nama kontak karyawan palsu dalam pengungkapannya.
Setelah BleepingComputer menghubungi VRChat tentang pengajuan tersebut, perusahaan tersebut mengonfirmasi bahwa pengungkapan tersebut palsu dan menyatakan belum menyampaikan pemberitahuan kepada otoritas Maine.
BleepingComputer juga menghubungi Discord tentang pemberitahuan penipuan yang dikirimkan ke situs tersebut tetapi tidak menerima tanggapan.
Tidak jelas berapa banyak pemberitahuan pelanggaran tambahan yang bersifat penipuan yang mungkin telah dikirimkan melalui portal tersebut sebelum negara menangguhkan akses publik ke database tersebut.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
