Ditemukan 1.2 Miliar Data Pribadi Terpapar ke Publik Dalam Satu Server

Logo Telkom Indonesia Logo Telkomsel Indosat Ooredo Ads

Pada bulan Oktober, peneliti keamanan siber Vinny Troia menemukan sekitar 1,2 miliar data pribadi yang terpapar ke publik. Hal ini akibat server yang tidak aman, sehingga dapat dengan mudah diakses siapa saja.

Seperti dilansir dari WIRED, selama lebih dari satu dekade, pencuri identitas, phisher, dan scammer online lainnya telah menciptakan pasar gelap dimana data pribadi yang dicuri diperjual belikan dan mereka gunakan untuk membobol akun orang, mencuri uang mereka, atau memalsukan akun mereka.

Walaupun volume datanya sangat besar untungnya tidak ada informasi sensitif di dalam data seperti kata sandi, nomor kartu kredit, atau nomor Jaminan Sosial. Meskipun demikian, data-data itu berisi profil dari ratusan juta orang yang termasuk nomor telepon rumah dan seluler, profil media sosial terkait seperti Facebook, Twitter, LinkedIn, dan Github, riwayat kerja yang tampaknya diambil dari LinkedIn, jadi ada sekitar 50 juta nomor telepon, dan 622 juta alamat email.

Troia menemukan server itu ketika sedang melakukan penelitian mencari eksposur dengan sesama rekan peneliti keamanan Bob Diachenko di layanan pemindaian web BinaryEdge dan Shodan. Alamat IP untuk server hanya ditelusuri ke Layanan Cloud Google, jadi Troia tidak mengetahui siapa yang mengumpulkan data yang disimpan di sana.

Dia juga tidak memiliki cara untuk mengetahui apakah ada orang lain yang menemukan dan mengunduh data sebelum dia melakukannya, tetapi dia mencatat bahwa server mudah ditemukan dan diakses. Setelah memeriksa alamat email pribadi enam orang di kumpulan data, ternyata empat ada di dalam data dan memberikan informasi profil yang akurat. Troia telah melaporkan adanya data pribadi yang terpapar tersebut ke Biro Investigasi Federal. Dalam beberapa jam kemudian seseorang memperbaiki server dan data yang terpapar tidak bias diakses lagi.

Data yang ditemukan oleh Troia tampaknya adalah empat set data yang dirangkai menjadi satu. Tiga diberi label, mungkin oleh pemilik server dan berasal dari penjuak data yang berbasis di San Francisco bernama People Data Labs.

Mereka mengklaim memiliki data lebih dari 1,5 miliar orang untuk dijual di situs webnya, termasuk hampir 260 juta di Amerika. Ini juga mempromosikan lebih dari satu miliar alamat email pribadi, lebih dari 420 juta URL LinkedIn, lebih dari satu miliar URL dan ID Facebook, dan lebih dari 400 juta nomor telepon, termasuk lebih dari 200 juta nomor ponsel yang valid dari Amerika.

Salah satu pendiri PDL, Sean Thorne mengatakan bahwa perusahaannya tidak memiliki server yang terbuka untuk menampung data-data yang mereka miliki. Troia sepakat dengan hal ini berdasarkan pada visibilitasnya yang terbatas. Juga tidak jelas bagaimana data-data itu bias muncul di server itu.

Salah satu set data lainnya diberi label “OXY,” dan setiap catatan di dalamnya juga berisi tag “OXY”. Troia berspekulasi bahwa ini mungkin merujuk pada pialang data yang berbasis di Wyoming Oxydata, yang mengklaim memiliki 4 TB data, termasuk 380 juta profil konsumen dan karyawan di 85 industri dan 195 negara di seluruh dunia.

Martynas Simanauskas, direktur Oxydata untuk penjualan B2B, menekankan bahwa Oxydata tidak memiliki server yang mengalami pembobolan data dan dia juga mengatakan bahwa pihaknya tidak memberi label data mereka dengan tag “OXY”.(hh)