Cyberthreat.id – Peneliti keamanan siber Vinny Troia dan Bob Diachenko mengatakan, telah menemukan kebocoran data 1,2 miliar orang melalui di layanan pemindaian web BinaryEdge dan Shodan. Data itu terbuka di server Elasticsearch.

Elasticsearch adalah mesin pencari dan analisis log yang dikembangkan oleh Shay Banon berdasarkan Lucene library.

Alamat IP untuk server hanya ditelusuri ke layanan Cloud Google. Jadi, keduanya tidak tahu siapa yang mengumpulkan data yang disimpan di sana.

Troia juga tidak memiliki cara untuk mengetahui apakah ada orang lain yang menemukan dan mengunduh data sebelum dia menemukannya. Yang jelas, kata dia, server mudah ditemukan dan diakses.

---

Berita Terkait:

• Peneliti Ini Temukan Kebocoran Data 1,2 Miliar Orang
• Data yang Bocor Rentan Dieksploitasi Penjahat Phishing

---

Data tersebut ditemukan pertama kali pada 16 Oktober lalu. Basis data (database) yang ditemukan berisi lebih dari 4 terabyte (TB).

Basis data itu berisi informasi meliputi profil Facebook, Twitter, dan LinkedIn,nama, alamat dan email pribadi, hampir 50 juta nomor telepon, dan data lain yang biasanya tersedia di penjual data—perusahaan yang khusus menawarkan jasa iklan bertarget, layanan pemasaran, dan pengiriman pesan.

Semua informasi itu tidak dilindungi, tanpa perlu login untuk mengaksesnya. Data yang ditemukan memang tidak mencakup informasi sensitif, seperti kata sandi, nomor kartu kredit, atau nomor jaminan sosial.

Seperti dikutip dari Wired , Jumat (22 November 2019), setelah menemukan database itu, mereka pun melaporkan kebocoran itu ke Biro Investigasi Federal (FBI).

Setelah laporan itu, dalam beberapa jam, kata Troia, seseorang menarik server dan data yang terbuka itu sudah tidak bisa diakses (offline). FBI menolak berkomentar untuk cerita ini.

Broker data

Data yang ditemukan mereka adalah empat set data yang dirangkai menjadi satu. Tiga diberi label, mungkin oleh pemilik server, berasal dari penjual data yang berbasis di San Francisco, AS yang disebut “People Data Labs (PDL)”.

Di situs webnya, PDL memang mengklaim memiliki data lebih dari 1,5 miliar orang untuk dijual, termasuk hampir 260 juta di AS. PDL juga mempromosikan lebih dari satu miliar alamat email pribadi, lebih dari 420 juta URL LinkedIn, lebih dari satu miliar URL dan ID Facebook, dan lebih dari 400 juta nomor telepon, termasuk lebih dari 200 juta nomor ponsel AS yang valid.

Co-founder PDL, Sean Thorne, mengatakan, perusahaannya tidak memiliki server yang menampung data terbuka. Ia juga tak paham mengapa data mereka bisa terbuka seperti itu.

"Pemilik server ini kemungkinan menggunakan salah satu produk pengayaan kami, bersama dengan sejumlah pengayaan data atau layanan lisensi lainnya," kata Sean.

"Suatu kali seorang pelanggan menerima data dari kami, atau penyedia data lain, data ada di server mereka dan keamanan adalah tanggung jawab mereka. Kami melakukan audit keamanan gratis, konsultasi, dan lokakarya dengan mayoritas pelanggan kami."

Analisis Troia tidak mungkin bahwa data PDL diretas. Karena daripada meretas, seseorang akan lebih mudah membeli data dari perusahaan. Penyerang dengan anggaran yang cukup juga bisa mendaftar untuk uji coba gratis yang diiklankan PDL, menawarkan 1.000 profil konsumen per bulan.

Satu set data lainnya yang ditemukan berlabel "OXY” dan setiap catatan di dalamnya juga berisi tag "OXY". Troia berspekulasi bahwa ini mungkin merujuk pada penjual atau broker data Oxydata di Wyoming, AS.

Perusahaan itu mengklaim memiliki 4 TB data, termasuk 380 juta profil konsumen dan karyawan di 85 industri dan 195 negara di seluruh dunia.

Direktur penjualan data B2B Oxydata, Martynas Simanauskas, mengatakan, Oxydata tidak mengalami pelanggaran data dan tak pernah melabeli data dengan "OXY".

"Meskipun bagian dari basis data yang ditemukan Vinny mungkin diperoleh dari kami atau salah satu pelanggan kami, itu pasti tidak bocor dari basis data kami," kata Simanauskas kepada Wired.

"Kami menandatangani perjanjian dengan semua klien kami yang secara ketat melarang penjualan kembali data dan mewajibkan mereka untuk memastikan bahwa semua tindakan keamanan yang tepat diambil.”

“Dilihat dari struktur data, tampak jelas bahwa basis data yang ditemukan oleh Vinny adalah produk kerja dari pihak ketiga, dengan entri yang dihasilkan dari berbagai sumber berbeda," kata Simanauskas.

Troia dan Diachenko juga berkesimpulan bahwa kemungkinakan besar server yang ditemukan tersebut bukan milik dua perusahaan tersebut.

Namun, mereka pun melakukan pengujian apakah data itu milik PDL atau tidak. Mereka pun membuat akun gratis di situs web PDL.

“Data yang ditemukan di server Elasticsearch yang terbuka hampir cocok dengan data yang dikembalikan oleh People Data Labs API. Untuk mengonfirmasi, kami menguji secara acak 50 pengguna lain dan hasilnya selalu konsisten."

Mereka juga masih kebingungan bagaimana data itu dapat dikumpulkan dalam database? Apakah data telah dicuri dan ditempatkan di ember penyimpanan oleh peretas? Namun, satu-satunya petunjuk bagi pemilik server adalah alamat IP (35.199.58.125) mudah diketahui dan di-host dengan Google Cloud.