Cyberthreat.id – Teletext Holidays, perusahaan penyedia online paket liburan asal Inggris, mengalami pelanggaran data atas ribuan pelanggannya. Total ada 532.000 file, dengan data berupa rekaman panggilan telepon (audio) sebanyak 212.000 file yang disimpan di server cloud Amazon Web Service.

Data tersebut terekspose dan dibiarkan terbuka selama tiga tahun, demikian temuan Verdict, perusahaan media teknologi, seperti dikutip dari IT Pro Portal, yang diakses Rabu (4 September 2019).

Pusat data panggilan tersebut berada di India. File audio direkam antara April hingga Agustus 2016. Data yang terekspose tersebut berupa nama, alamat email, alamat rumah, nomor telepon, dan tanggal kelahiran.

Verdict mengatakan, dalam beberapa rekaman yang didengarnya, sebagian nomor kartu kredit yang disebutkan. Rekaman audio juga berisi informasi tentang jadwal perjalanan, waktu penerbangan, biaya paket perjalanan, durasi liburan, dan lokasi tujuan.

Perusahaan pun melaporkan kejadian tersebut ke Kantor Komisaris Informasi (The Information Commissioner’s Office). Namun, kini file tersebut telah dihapus di AWS setelah Verdict melaporkannya kepada perusahaan.

Truly Travel, perusahaan utama dari Teletext Holidays, mengatakan kepada BBC, "Prosedur pemesanan kami tidak memungkinkan agen untuk mengambil nomor kartu melalui telepon,” kata perusahaan.

“Pelanggan diminta untuk memasukkan rincian kartu mereka ke dalam sistem otomatis yang aman. Jika pelanggan mencoba untuk memberikan informasi kartu mereka secara lisan, mereka dihentikan oleh agen," perusahaan menambahkan.

Setelah kejadian tersebut, Truly Travel mengaku langsung mengamankan file-file audio yang dimaksud. File audio itu berkisar antara beberapa menit hingga satu jam dan berisi tentang detail liburan.

Pada Februari 2016, Teletext Holidays menerapkan sistem analisis kecerdasan buatan (AI) bahasa alami untuk mengubah percakapan pusat panggilan menjadi teks.

Dalam data yang terbuka itu, sekitar 9.000 panggilan telepon disertai dengan transkrip teks; tentu saja ini berpotensi memudahkan peretas jahat untuk mengorek data pribadi.

Data pribadi, seperti alamat email dan tanggal lahir, dapat menjadi informasi berharga bagi penjahat online. Adalah umum bagi peretas jahat untuk menjual basis data yang berisi data pribadi di forum dark web. Data kemudian dapat digunakan untuk melakukan penipuan identitas, phishing atau serangan email yang ditargetkan.

Malcolm Taylor, Direktur Penasihat Siber di ITC Secure, menggambarkan pelanggaran data Teletext Holidays sebagai "umpan informasi bagi peretas".

"Tolong jangan menyimpan data yang tidak terenkripsi. File audio ini tidak ada bedanya dengan nilai data untuk peretas,” kata dia dikutip dari situs Verdict.

“Semuanya memiliki nilai dolar dan dijual secara online. Ini juga harta karun bagi siapa saja yang ingin membangun serangan yang lebih canggih dan merusak. Kebocoran sederhana ini dapat memunculkan lebih banyak dan lebih buruk lagi," ia menambahkan.

Taylor mengatakan, akan cukup mudah bagi penjahat untuk mengekstrak data dari file audio meski hal itu butuh waktu agak lama.

Pelanggaran data Teletext Holidays adalah yang terbaru dari serangkaian insiden keamanan yang melibatkan server tanpa jaminan, banyak di antaranya disediakan oleh Amazon Web Services. AWS, yang merupakan penyedia cloud hosting terbesar di dunia dengan pangsa pasar 34 persen, memberi bisnis pilihan untuk menyimpan repositori data, yang dikenal sebagai bucket, publik atau pribadi.

Dalam banyak kasus profil tinggi, yang melibatkan server AWS, sebuah perusahaan lupa membuat file pribadi. Contoh yang terkenal, basis data Honda yang berisi informasi penting yang berkaitan dengan keamanan jaringan perusahaan.

Ini bukan pertama kalinya informasi pribadi dari ratusan ribu pelancong telah dibocorkan, tidak sengaja diekspose, atau sengaja dibagikan oleh perusahaan pemesanan liburan atau hotel dengan pihak ketiga.

Awal tahun ini, tulis Teiss, penelitian oleh Symantec Corporation mengungkapkan bahwa situs web sebanyak 67 persen dari lebih dari 1.500 hotel di 54 negara membocorkan kode referensi pemesanan ke situs pihak ketiga seperti pengiklan dan perusahaan analisis.

Pembagian kode referensi pemesanan oleh ratusan hotel memungkinkan pihak ketiga untuk masuk ke reservasi, melihat rincian pribadi, dan bahkan membatalkan pemesanan sama sekali.

Candid Wueest, peneliti ancaman utama di Symantec Corporation, mencatat bahwa sebagian besar situs web hotel juga membocorkan informasi yang dapat diidentifikasi secara pribadi dari tamu mereka yang mencakup nama lengkap, alamat email, alamat pos, nomor telepon, nomor paspor, dan empat digit terakhir kartu kredit, jenis kartu, dan tanggal kedaluwarsa.