Cyberthreat.id – Salah satu platform perdagangan valuta asing (forex) ternama, FBS.com, membocorkan lebih dari 16 miliar catatan pelanggannya secara online karena kesalahan konfigurasi pada penyimpanan cloud yang digunakannya.

Berdiri sejak 2009, FBS adalah broker forex online internasional dengan lebih dari 400.000 mitra dan 16 juta trader yang tersebar di 190 negara, termasuk Indonesia.

Dikutip dari Info Security Magazine, para peneliti dari WizCase, menemukan sebuah server Elasticsearch yang dibiarkan terbuka tanpa enkripsi dan perlindungan kata sandi. Server tersebut berisi data dari FBS.com dan FBS.eu.

Menurut pemimpin tim peretas topi putih dari WizCase, Ata Hakcil, basis data tersebut mengekspos jutaan informasi identitas pribadi (PII) pelanggan, termasuk  nama dan nama keluarga, alamat email, nomor telepon, alamat penagihan, negara domisili, zona waktu, alamat IP, koordinat, nomor paspor, model perangkat seluler, sistem operasi perangkat,  email yang dikirim ke pengguna FBS, ID media sosial termasuk GoogleID dan FacebookID.

Ada juga informasi atau file yang diunggah oleh pengguna untuk verifikasi seperti foto pribadi, KTP, SIM, akta kelahiran, laporan rekening bank, tagihan utilitas, dan kartu kredit beserta fotonya, dan data detail keuangan.

“Rincian transaksi pengguna termasuk uang setoran, mata uang, sistem pembayaran, ID transaksi, ID akun, tanggal transaksi, berapa kali uang disimpan, jumlah setoran terakhir, tanggal setoran terakhir, total setoran, kredit, saldo, saldo bulan lalu, suku bunga, pajak, ekuitas, dan bebas margin,” kata peneliti WizCase dalam laporan yang dipublikasikan di situs resminya, Rabu (24 Maret 2021).

Para peneliti juga menemukan detail login pengguna FBS dari Jerman dan Australia seperti ID pengguna FBS, tanggal pembuatan akunnya, sandi tidak terenkripsi yang dikodekan dalam base64, tautan pengaturan ulang kata sandi, riwayat login, data loyalitas (tingkat loyalitas, poin level, poin hadiah, total uang yang disimpan, hari aktif, klien aktif, poin yang diperoleh, dan poin yang dibelanjakan),

“Jika informasi pengenal pribadi (PII) yang mendetail itu jatuh ke tangan yang salah, informasi tersebut dapat digunakan untuk berbagai kejahatan dunia maya,” tambah Hackil.

Terkait data-data yang bocor dan tidak dienkripsi ini, Hackil mengatakan hal ini dapat membahayakan para pengguna FBS. Itu lantaran setiap kumpulan data dengan sendirinya akan memberikan informasi berharga bagi penyerang. Jika digabungkan dengan data lain, dampaknya menjadi jauh lebih besar.

Misalnya, dengan informasi PII ini, penjahat siber dapat menyamar sebagai korban secara online untuk melakukan penipuan identitas, dan/atau menggunakan informasi tersebut untuk mendapatkan detail yang lebih sensitif dari korban melalui serangan phishing lanjutan.

Selain itu, dengan menggunakan informasi dan pemindaian kedua sisi kartu kredit pengguna, penjahat siber juga dapat dengan mudah melakukan penipuan pembayaran, sementara informasi sandi yang bocor dapat menyebabkan pengambilalihan akun.

“Mereka yang transaksinya menunjukkan kekayaan yang signifikan bahkan dapat ditargetkan ke alamat rumah mereka atau diperas.”

WizCase menemukan kebocoran tersebut pada 1 Oktober 2020 dan menghubungi FBS keesokan harinya. Perusahaan tersebut mengamankan server pada tanggal 5 Oktober, meskipun tidak jelas berapa lama telah dibiarkan terbuka sebelumnya. Oleh karena itu, pelanggan didorong untuk menghubungi pialang untuk memeriksa apakah mereka telah terpengaruh oleh pelanggaran tersebut.

“Mereka menghubungi kami kembali beberapa hari kemudian dan mengamankan server dalam waktu 30 menit.”

WizCase menyarankan para pengguna FBS untuk mengubah kata sandi mereka dan mengaktifkan otentikasi dua faktor pada akun online mereka, memeriksa aktivitas rekening bank yang tidak biasa dan selalu waspada terhadap serangan phishing.[]

Editor: Yuswardi A. Suud