Bahaya Tersembunyi dari SaaS: Bagaimana Kepercayaan Bisa Jadi Titik Lemah Keamanan

Pada musim panas 2025, terjadi serangkaian serangan yang mengungkap risiko besar keamanan di dalam platform SaaS atau Software-as-a-Service. Pelaku kejahatan siber menggunakan cara sosial engineering dan manipulasi kepercayaan pada integrasi aplikasi untuk mencuri data sensitif tanpa perlu memanfaatkan celah software seperti malware atau zero-day.Serangan terkenal oleh kelompok ShinyHunters berhasil membobol sistem Salesforce dengan mengelabui karyawan di perusahaan besar seperti Google dan Workday lewat panggilan vishing yang mengarah pada otorisasi aplikasi OAuth palsu. Dengan cara ini, para penyerang mendapatkan akses API untuk mencuri berbagai data pelanggan.Selain itu, kejadian peretasan pada integrasi AI chatbot Salesloft Drift memperlihatkan risiko rantai pasokan SaaS yang serius. Saat GitHub Salesloft dibobol, data OAuth token chatbot didapat dan dipakai untuk mengakses ratusan perusahaan tanpa harus menargetkan satu per satu, menyusup tanpa terdeteksi karena tampak seperti aktivitas normal.Perkembangan AI yang masif di aplikasi bisnis memperpanjang dan memperumit permukaan serangan. Penggunaan AI copilot dan chatbot generatif bisa menjadi titik risiko tambahan jika tidak diawasi secara ketat, berpotensi menyebabkan kebocoran data tanpa disadari melalui kesalahan konfigurasi atau pemakaian alat AI yang tidak resmi.Sebagai solusi, organisasi disarankan melakukan audit rutin aplikasi yang terhubung, membatasi akses dengan prinsip kebutuhan minimum, dan mengaktifkan pemantauan perilaku SaaS untuk mendeteksi aktivitas tidak biasa. Pelatihan keamanan bagi karyawan serta tata kelola terhadap AI dan integrasi juga penting demi menciptakan ekosistem SaaS yang lebih aman.