Cyberthreat.id – Data pelanggan Clover Sites, perusahaan yang menawarkan sistem manajemen konten untuk membangun dan mengelola situs web gereja, terbuka secara publik selama 6-7 bulan.

Basis data cloud yang terpisah itu bisa diakses oleh publik. Kebocoran data ini ditemukan oleh peneliti perusahaan keamanan siber Security Discovery, demikian seperti dikutip dari ThreatPost, yang diakses Minggu (27 Oktober 2019). .

Direktur Riset Keamanan dan Konsultan Komunikas Senior dari Security Discovery, Jeremiah Fowler, mengatakan, tim riset menemukan basis data yang tidak dilindungi kata sandi pada Mei lalu yang berisi 65.800 catatan.

Catatan tersebut meliputi nama pelanggan, informasi tagihan, data kontak, dan empat digit terakhir nomor kartu kredit. Selain itu, alamat IP, port, jalur dan info penyimpanan untuk pelanggan. Termasuk pula, informasi tentang komentar internal tentang panggilan, permintaan bantuan dan catatan tentang kepuasan pelanggan.

“Data yang terbuka tampaknya adalah semua akun pelanggan Clover Sites lama dan baru,” kata Fowler.

Yang menarik, kata dia, kumpulan data yang sama muncul di basis data terpisah tanpa enkripsi selama sebulan sebelum Fowler dan tim menemukannya.

Basis data yang lebih awal terbuka ditemukan oleh rekannya, Bob Diachenko dan telah dilaporkan ke Clover Sites pada April lalu. Selanjutnya, Fowler menemukan basis data kedua yang lain.

" Ini berarti bahwa data klien lengkap Clover Sites telah diekspos online dua kali terpisah dan dapat diakses oleh siapa saja yang terkoneksi internet," kata Fowler.

Clover menolak untuk menganggap serius laporan Fowler. “Pada awal Oktober saya akhirnya menghubungi perusahaan induk mereka, Ministry Brands LLC," jelas peneliti. Pada tanggal 4 Oktober saya menerima pesan terima kasih dari mereka dan mengambil tindakan,” kata dia.

“Dalam 24 jam akses publik ditutup. Tidak seperti staf Clover Sites yang mengabaikan panggilan dan email, Ministry Brands bertindak cepat dan profesional untuk mengamankan data," ia menambahkan.

"Kami memiliki kewajiban etis terhadap orang-orang yang memiliki data yang terekspose tersebut dan tidak mencoba membuat berita dengan mengorbankan pengguna yang tidak bersalah atas data mereka," tutur dia.

“Perlindungan data yang sebenarnya bukanlah perlombaan untuk mendapatkan nama Anda di berita utama. Pendekatan ini bertentangan dengan kerja keras dan banyak penelitian (seringkali tidak dibayar) yang terlibat dengan proses pengungkapan yang bertanggung jawab," Fowler menuturkan.

Ia tak mengetahui siapa saja yang telah mengakses data tersebut. Ia mengkhawatirkan data-data tersebut bisa disalahgunakan oleh penjahat siber untuk melakukan serangan phishing, penipuan, dan intrusi jaringan.

“Bahaya menyimpan jenis informasi ini termasuk empat digit terakhir dari kartu kredit dan alamat penagihan adalah hal itu membuatnya sangat mudah bagi penjahat siber untuk secara teoritis menyamar sebagai karyawan dan 'memverifikasi' sisa kartu,” jelasnya.

"Jenis phishing yang sangat bertarget ini adalah risiko nyata karena ada hubungan kepercayaan dengan pelanggan dan penyedia, sehingga kebanyakan orang tidak akan curiga jika mereka menerima panggilan untuk memperbarui metode pembayaran mereka,” Fowler menuturkan.

Upaya penipuan lainnya dapat dilakukan dengan menggunakan catatan panggilan rinci dalam basis data (penjahat bahkan bisa mengatakan "Saya melihat bahwa kami terakhir berbicara pada tanggal ini mengenai subjek ini"); dan, informasi port dapat digunakan untuk menembus lebih jauh ke dalam jaringan.

Kejadian kebocoran data pribadi ini telah marak terjadi. Menurut Cloud Adoption & Risk Report yang dirilis oleh McAfee awal tahun ini, telah terjadi peningkatan 27,7 persen dalam insiden keamanan terkait cloud dari tahun lalu. Dengan 65 persen organisasi yang menggunakan beberapa bentuk model infrastruktur-sebagai-layanan (IaaS).

Lembaga dan perusahaan perlu menyadari risiko penyimpanan berbasis cloud dan memastikan bahwa keamanan adalah prioritas utama.

Redaktur: Andi Nugroho