Las Vegas, Cyberthreat.id - Seorang peneliti Inggris berhasil menemukan celah keamanan di dalam General Data Protection Regulation (GDPR) milik Uni Eropa.

Celah itu dinamakan right to access atau hak permintaan untuk mengakses. Right to access adalah bagian dari regulasi GDPR yang memungkinkan seorang individu untuk meminta salinan data apa pun yang disimpan oleh perusahaan/institusi.

Ini masuk akal karena, seperti halnya dengan sistem privasi pengguna, harus ada mekanisme yang dapat ditegakkan secara hukum yang memungkinkan orang untuk memeriksa keakuratan dan kuantitas data pribadi.

Mahasiswa PhD Universitas Oxford, James Pavur, menemukan terlalu banyak perusahaan yang berani membagikan data pribadi ketika ditanya/diminta tanpa memeriksa siapa yang memintanya.

Pavur memaparkan celah regulasi GDPR di Black Hat Convention 2019, Las Vegas 7-8 Agustus. Dalam sesi yang berjudul GDPArrrr: Menggunakan Hukum Privasi untuk Mencuri Identitas, Pavur mendokumentasikan betapa mudahnya dia menggunakan right to access untuk mencuri data pribadi tunangannya.

Setelah menghubungi 150 organisasi di Inggris dan AS dengan menyamar, Pavur tidak menemukan kesulitan sama sekali. Untuk 75 orang pertama yang dihubungi melalui surat, ia menyamar sebagai wanita dengan hanya memberikan informasi yang dapat ditemukan secara online seperti nama lengkap, alamat email, nomor telepon. Menariknya, beberapa perusahaan menanggapinya dengan menyediakan alamat rumah.

Berbekal informasi tambahan ini Pavur kemudian menghubungi 75 lebih perusahaan/instansi melalui email. Yang mengejutkan adalah dia mendapatkan informasi lebih seperti nomor jaminan sosial tunangannya, alamat rumah sebelumnya, log hotel, nilai sekolah, apakah dia menggunakan situs kencan online hingga nomor kartu kreditnya.

Pavur bahkan tidak perlu memalsukan dokumen identitas atau memalsukan tanda tangan untuk mendukung permintaannya dan tidak memalsukan alamat email aslinya agar permintaannya tampak lebih asli.

Eksploitasi Kriminal

Pavur tidak bersedia mengungkapkan perusahaan mana yang gagal mengautentikasi permintaan akses palsunya. Ia tetap menyebutkan tiga diantaranya yakni Tesco, Bed Bath and Beyond dan American Airlines - yang kerap dianggap berkinerja baik karena mereka menantang permintaannya setelah menemukan data otentikasi yang hilang.

Seperempat perusahaan menyerahkan data tunangannya tanpa verifikasi identitas, tapi sebanyak 16 persen meminta jenis identitas yang mudah dipalsukan, tapi Pavur tidak memberikannya, sementara 39 persen meminta identitas yang kuat. Hanya 13 persen yang mengabaikan permintaannya sehingga mereka tidak bersedia menyerahkan data.

GDPR, kata dia, sebenarnya mengizinkan seseorang yang mampu mencuri atau memalsukan SIM yang memiliki akses hampir lengkap ke kehidupan digital Anda. Bahayanya adalah pelaku kriminal mungkin sudah mengeksploitasi ini tanpa ada yang memperhatikan.

Pavur membuktikannya dengan cara mengotomatiskan permintaan akses standar yang palsu tidak akan sulit dilakukan dengan menggunakan jenis nama dasar dan data alamat email yang digunakan oleh banyak orang di media sosial.

Salah Siapa?

Pavur mengatakan terlalu banyak organisasi yang tidak memahami GDPR. Tidak cukup dengan mengamankan data dalam arti teknis jika Anda tidak berupaya mengamankan akses ke sana.

Jika seseorang menelepon lalu meminta dengan alasan untuk mengetahui data apa yang disimpan pada mereka, tidak mengautentikasi permintaan, maka ini menjadi bypass yang akhirnya membahayakan privasi daripada melindunginya.

Harus diakui tindakan itu bisa dilakukan jauh sebelum GDPR ada, tapi memang sekarang adalah zaman digital. Memberikan warga negara hak hukum untuk meminta data/right to access membuka kesempatan bagi orang yang berniat buruk untuk mencoba dan memanipulasi.

Namun ada juga kegagalan yang lebih dalam di sini - jika organisasi mencoba memverifikasi identitas seseorang, apa yang harus mereka minta?

GDPR atau aturan perlindungan data lainnya, masih belum memiliki sistem verifikasi identitas yang universal dan dapat diandalkan untuk memeriksa apakah seseorang memang seperti yang mereka katakan atau mereka berbohong.

Saat ini, kebanyakan sistem yang ada selalu mengidentifikasi orang untuk satu aplikasi atau layanan. Skema pemerintah masih belum maksimal dalam perlindungan data. Setidaknya, sampai hal ini terpecahkan, GDPR akan tetap menjadi UU yang menutup beberapa lubang privasi besar.