Tokyo, Cyberthreat.id - Database milik raksasa otomotif, Honda, terekspos di internet. Database Elasticsearch yang dipakai Honda ini tidak dikunci dengan password atau mekanisme otentikasi apapun. Siapapun bisa melihat data 300.000 karyawan Honda di seluruh dunia, termasuk nama, alamat email, identifikasi jaringan, alamat IP, sistem operasi, bahkan software antivirus. Informasi ini bisa dieksploitasi hacker untuk merancang serangan ke jaringan Honda.

Database Elasticsearch yang terekspos berisi sekitar 134 juta dokumen yang totalnya berukuran 40 Gb. Periset keamanan siber, Justine Paine, menemukan database ini pada 1 Juli saat ia tengah meriset Shodan (mesin pencari untuk Internet of Things). Awalnya ia mengira data tersebut milik satu diler Honda. Saat menggali lebih dalam, ia menemukan data ratusan ribu karyawan Honda. Kelihatannya data tersebut milik kantor Honda di Jepang.

Selain berisi tabel data karyawan, terminal, DHCP, dan antivirus, database tersebut memiliki tabel bernama "uncontrolledmachine". Tabel ini berisi 3.000 item terkait komputer internal Honda yang tidak menggunakan software keamanan atau antivirus. "Jika penyerang mencari cara masuk ke jaringan Honda, mengetahui mesin mana yang bisa diserang merupakan informasi penting. Tabel 'uncontrolledmachine' akan sangat mudah menjadi pintu masuk ke seluruh jaringan," kata Paine di blog rainbowtabl.es.

Ia mempublikasikan temuannya di rainbowtabl.es setelah melaporkan hal itu kepada Honda pada 6 Juli. Honda langsung mengunci database yang terbuka tersebut 10 jam setelah mendapat laporan. "Terima kasih telah menunjukkan celah keamanan tersebut," kata Honda dalam surat resminya kepada Paine. "Saat ini tidak ada bukti kebocoran data, tidak termasuk screenshot yang Anda ambil."

Screenshot database yang terbuka | image: rainbowtabl.es

Honda pernah mengalami pembobolan data, bukan sekadar database terekspos seperti ini. Pada Desember 2010, sekitar 2,2 juta data konsumen Honda di Amerika Serikat bocor akibat peretasan database. Data yang bocor berisikan nama, nama login, alamat email, dan Vehicle Identification Number. Data 2,7 juta pengguna Honda Acura juga terkena dampak pembobolan, namun Honda mengatakan yang bocor hanya alamat email pemilik mobil sedan Acura.