Dalam analisis menyeluruh yang dilakukan pada akhir tahun 2025, peneliti Flare menemukan lebih dari itu 10.000 gambar kontainer Docker Hub membocorkan rahasia (termasuk kunci API produksi, token cloud, kredensial CI/CD, dan bahkan token akses model AI) semuanya dimasukkan ke dalam repositori publik, sering kali secara tidak sengaja oleh pengembang.
Identitas non-manusia (NHIs): token, kunci API, akun layanan, dan identitas beban kerja, adalah kredensial mesin-ke-mesin yang mendukung pengembangan perangkat lunak modern dan infrastruktur cloud.
Tidak seperti pengguna manusia yang mengautentikasi dengan kata sandi dan MFA, identitas ini mengautentikasi aplikasi, membangun saluran, dan layanan otomatis secara terus-menerus, sering kali dengan hak istimewa yang luas dan jangka waktu yang tidak terbatas.
Ketika orang membaca tentang temuan seperti ini, reaksi naluriahnya sering kali adalah, “Mereka akan belajar dari pengalaman pahit,” atau “Ini pasti perusahaan kecil atau pengembang yang tidak berpengalaman — bukan perusahaan serius atau perusahaan Fortune 500.”
Namun kenyataannya jauh lebih kompleks dan meresahkan daripada apa yang diberitakan dalam judul berita yang dangkal. Paparan ini bukanlah kasus tepian, namun merupakan kegagalan struktural dalam cara perangkat lunak modern dibangun dan dioperasikan.
Untuk memahami alasannya, lihatlah mimpi buruk dunia nyata yang terjadi beberapa tahun terakhir yang melibatkan pengungkapan identitas non-manusia.
Pelanggaran Kepingan Salju: 165 Organisasi Disusupi Melalui Kredensial yang Bocor
Salah satu kasus paling menonjol yang menarik perhatian media luas adalah insiden Kepingan Salju tahun 2024. Hal ini tidak disebabkan oleh eksploitasi perangkat lunak, namun oleh penyalahgunaan kredensial yang sudah berumur panjang dan telah bocor ke dalam ekosistem kriminal selama bertahun-tahun.
Cluster aktor ancaman UNC5537 diautentikasi ke sekitar 165 lingkungan pelanggan Snowflake menggunakan kredensial terbuka yang diambil dari tempat pembuangan malware infostealer historis dan pasar kejahatan dunia maya.
Kredensial ini (akun mirip API, pengguna otomatisasi, dan identitas akses data) sering kali tidak memiliki autentikasi multifaktor dan dirancang untuk bertahan tanpa batas waktu. Data yang diakses mencakup informasi perusahaan dan pelanggan yang sangat sensitif milik organisasi seperti AT&T, Ticketmaster, Santander, dan lainnya, yang kemudian diiklankan untuk dijual atau digunakan dalam kampanye pemerasan.
Eksposur Home Depot Selama Setahun: Ketika Satu Token GitHub Bertahan Lebih Lama Dari Penciptanya
Pada akhir tahun 2025, diketahui bahwa sistem internal Home Depot tetap dapat diakses selama lebih dari setahun karena kebocoran satu token akses GitHub milik seorang karyawan, yang secara tidak sengaja dipublikasikan pada awal tahun 2024 dan terekspos di platform publik.
Telemetri pemindaian otomatis menunjukkan bahwa token ini memberikan hak yang luas, termasuk akses baca dan tulis ke ratusan repositori kode sumber pribadi, serta akses ke infrastruktur cloud yang terhubung, sistem pemenuhan pesanan, platform manajemen inventaris, dan jalur pengembang.
Secara efektif memperlakukan token sebagai identitas non-manusia valid yang mampu diautentikasi tanpa tantangan. Meskipun ada banyak upaya yang dilakukan peneliti keamanan eksternal untuk memperingatkan tim keamanan Home Depot, token tersebut tetap aktif dan dapat diakses publik selama berbulan-bulan, hanya dicabut setelah keterlibatan media pihak ketiga melakukan tindakan paksa.
Paparan yang berkepanjangan ini menggarisbawahi kesenjangan sistemik dalam tata kelola kredensial dan deteksi rahasia otomatis: identitas mesin yang berumur panjang tanpa rotasi, kedaluwarsa, atau pemantauan proaktif memungkinkan token akses statis berfungsi sebagai vektor autentikasi yang persisten di seluruh sistem internal yang penting.
Insiden ini tidak melibatkan kerentanan perangkat lunak pada platform itu sendiri, namun lebih pada validitas token identitas yang bocor, yang menggambarkan bagaimana kredensial non-manusia yang tidak dikelola dapat secara tidak sengaja membuka permukaan serangan yang signifikan di lingkungan perusahaan yang sudah matang.
Pelanggaran Red Hat GitLab: Repositori Konsultasi Menjadi Penyimpanan Kredensial yang Tidak Disengaja
Pada bulan Oktober 2025, instance Red Hat GitLab yang digunakan oleh organisasi konsultannya disusupi oleh kelompok yang menamakan dirinya “Crimson Collective,” yang mengakibatkan eksfiltrasi puluhan ribu repositori pribadi dan ratusan Customer Engagement Reports (CER).
Artefak ini berisi diagram arsitektur, konfigurasi penerapan, dan kredensial yang tertanam secara penting seperti token, URI database, dan kunci layanan yang mengalir ke repositori dari waktu ke waktu sebagai bagian dari keterlibatan konsultasi.
Dengan menggabungkan data kontekstual dengan rahasia statis di dalam GitLab, apa yang seharusnya merupakan penyimpanan kode netral secara efektif menjadi penyimpanan kredensial dan peta akses yang tidak disengaja, mengekspos materi sensitif yang dapat digunakan sebagai vektor autentikasi yang valid di seluruh lingkungan pelanggan.
Risiko NHI tidak bisa diabaikan.
Mari kita kembali ke penelitian Flare yang mengungkap lebih dari 10.000 gambar container yang terkait dengan lebih dari 100 organisasi dan berisi ribuan kunci aktif. Di bawah ini, Anda dapat melihat rincian lebih lanjut dari rahasia yang ditemukan:
| Kategori | Akun Docker Hub | Arti |
|---|---|---|
| AI | 191 | Grok/Gemini AI API, dll. |
| AWAN | 127 | Rahasia AWS/Azure/GCP/Cosmos/RDS |
| DATABASE | 89 | Kredit Mongo / Postgres / Neon / ODBC / SQL |
| MENGAKSES | 103 | JWT / SECRET_KEY / APP_KEY / enkripsi |
| API_TOKEN | 157 | Generik 3rd-kunci API pihak |
| SCM_CI | 44 | GitHub / Bitbucket / NPM / Docker |
| KOMUNIKASI | 31 | SMTP / Sendgrid / Brevo / Slack / Telegram |
| PEMBAYARAN | 21 | Stripe / Razorpay / Bebas Tunai / SEPAY |
Jadi mengapa gambar container berisi kunci? Karena agar dapat berfungsi, dibangun, dan dioperasikan, mereka harus mengautentikasi ke banyak lingkungan berbeda – platform cloud, API, database, sistem CI/CD, dan layanan internal.
Karena akses ini dilakukan oleh perangkat lunak dan bukan oleh manusia, maka akses ini bergantung pada identitas non-manusia seperti token, kunci API, dan akun layanan. Identitas mesin ini kini tertanam kuat dalam siklus hidup pengembangan perangkat lunak modern dan infrastruktur produksi, yang mendukung segala hal mulai dari pembuatan kode hingga runtime aplikasi di balik teknologi sehari-hari yang kita semua gunakan.
Identitas non-manusia telah menjadi salah satu pilar paling penting (dan paling sedikit dipahami) dalam siklus pengembangan perangkat lunak modern. Setiap alur kerja pembangunan, pengujian, penerapan, dan produksi kini berjalan pada autentikasi mesin-ke-mesin: pelari CI yang menarik kode, saluran yang mendorong kontainer, infrastruktur penyediaan layanan cloud, aplikasi yang memanggil API, dan model yang menanyakan data.
Proses ini tidak masuk dengan nama pengguna dan kata sandi, melainkan mengandalkan token, kunci API, akun layanan, aplikasi OAuth, dan identitas beban kerja yang beroperasi terus-menerus, sering kali dengan hak istimewa yang luas dan terus-menerus.
Berbeda dengan pengguna manusia, identitas ini tidak berganti pekerjaan, tidak terkena phishing, dan tidak lupa kata sandi, yang justru membuat mereka berbahaya jika terekspos. Paradoksnya, identitas non-manusia bisa hidup lebih lama dari manusia yang menciptakannya.
Kunci super tingkat admin yang dikeluarkan oleh insinyur DevOps senior lima tahun lalu (yang sekarang mungkin menjadi CTO dari sebuah startup yang berkembang pesat) sering kali masih hidup, memiliki hak istimewa penuh, dan diam-diam menunggu dalam bayang-bayang.
Berbeda dengan manusia, identitas mesin ini tidak berganti peran, keluar dari perusahaan, atau dicabut aksesnya kecuali seseorang secara eksplisit mengingatnya, sehingga menjadikannya salah satu artefak paling persisten dan berbahaya dalam infrastruktur modern.
Jika identitas non-manusia bocor ke dalam repositori, gambar kontainer, atau file log, hal ini dapat memberikan penyerang akses yang diam, tahan lama, dan sah jauh ke dalam siklus hidup pengembangan perangkat lunak (SDLC) suatu organisasi, sering kali mengabaikan deteksi sepenuhnya karena semuanya tampak seperti otomatisasi normal.
Di dunia cloud-native saat ini, mengendalikan identitas non-manusia bukan lagi sebuah tugas yang higienis – ini adalah batas keamanan SDLC itu sendiri.
Apa Artinya bagi Tim Keamanan dan Respons Insiden
Kesimpulan utama dari insiden ini sederhana saja: Penyerang sudah melakukan autentikasi dengan bocoran rahasia yang ditemukan di registrasi container publik. Ini bukanlah risiko teoritis – ini sedang terjadi sekarang.
Kita harus memperlakukan identitas non-manusia sebagai identitas manusia dan memantau perilaku mereka, membatasi akses mereka, dan menghapusnya ketika tidak diperlukan lagi.
Bagi para pembela HAM, keharusannya jelas:
-
Perlakukan gambar kontainer seperti kode DAN kredensial. Mereka bukan lagi sekadar artefak yang dapat diterapkan — mereka merupakan vektor kebocoran potensial untuk kunci sensitif.
-
Integrasikan pemindaian rahasia otomatis di setiap tahap SDLC. Tangkap kebocoran sebelum gambar disebarkan ke publik.
-
Gunakan kredensial berumur pendek dan singkat yang didukung oleh federasi identitas, bukan token berumur panjang yang dimasukkan ke dalam gambar.
-
Pantau kunci yang terekspos di registri publik dan cabut kunci tersebut secara proaktif – jangan menunggu hingga penyerang menyalahgunakannya.
Untungnya, industri keamanan telah meresponsnya dengan peralatan khusus. Platform yang dirancang untuk Manajemen Paparan Ancaman—seperti Flare dan solusi serupa—terus memindai registri publik dan repositori kode untuk mencari kredensial yang terbuka, memetakannya ke permukaan serangan nyata, dan memungkinkan remediasi cepat.
Bagi organisasi yang mengelola ribuan identitas non-manusia di seluruh SDLC mereka, kemampuan deteksi dan pencabutan otomatis tidak lagi bersifat opsional.
Pelajari lebih lanjut dengan mendaftar uji coba gratis kami.
Disponsori dan ditulis oleh Suar.
