Cyberthreat.id - Sebuah laporan terbaru mengungkapkan 250 juta catatan pelanggan Microsoft telah diekspos secara online tanpa perlindungan password. Kebocoran ini telah terjadi selama 14 tahun, dari periode 2005 hingga Desember 2019 terutama data terkait customer support.

Investigasi Microsoft tidak menemukan penggunaan yang dapat membahayakan para pelanggannya. Perusahaan mengatakan perubahan yang dilakukan tim keamanan Microsoft pada jaringan database berisi aturan keamanan yang tidak ter-konfigurasi yang tidak memungkinkan pemaparan atau keterbukaan data pelanggan.

Bob Diachenko, ketua tim peneliti keamanan Comparitech, menemukan bahwa sebanyak 250 juta data pelanggan pada database Microsoft yang terekspos dapat diakses oleh siapa saja dengan browser. Data itu, kata dia, tidak menggunakan password atau otentikasi lain untuk mengaksesnya. Data pengguna yang terbuka itu mencakup data penting pelanggan Microsoft seperti informasi pembayaran.

"Sebagian besar informasi yang dapat diidentifikasi secara pribadi, email, nomor kontrak dan informasi pembayaran telah dihapus (oleh Microsoft). Namun, banyak catatan berisi data teks biasa yang tidak terbatas, termasuk email pelanggan, alamat IP, lokasi, deskripsi klaim, nomor kasus hingga catatan internal yang ditandai sebagai rahasia," kata Bob dalam laporannya di Comparitech baru-baru ini.

Terima Kasih Microsoft

General Manager Microsoft Security Response Center, Eric Doer berterima kasih kepada tim peneliti keamanan dari Comparitech. Terutama Bob Diachenko karena telah menemukan 250 juta data pelanggan online tanpa perlindungan sehingga Microsoft bisa mengambil tindakan cepat untuk mengamankannya.

"Kami berterima kasih kepada Bob Diachenko karena telah bekerja sama dengan kami. Itu membuat kami dapat dengan cepat memperbaiki kesalahan konfigurasi ini, menganalisis data dan memberi tahu pelanggan," kata Eric dalam postingannya di Blog resmi Microsoft, Rabu (22 Januari 2020).

Setelah laporan diterima pada 29 Desember 2019, Microsoft secara cepat memperbaiki permasalahan konfigurasi tersebut dan mengamankan server dan datanya dalam database Microsoft. Database yang terbuka itu biasanya digunakan untuk analitik kasus dukungan Microsoft.

"Sebagai bagian dari prosedur standar Microsoft, data yang disimpan dalam database analitik kasus dukungan disunting menggunakan alat otomatis untuk menghapus informasi pribadi. Investigasi kami mengkonfirmasi bahwa sebagian besar catatan telah dibersihkan dari informasi pribadi sesuai dengan standar kami."

Pengguna Harus Waspada

Meskipun sebagian besar informasi yang diidentifikasikan sebagai data pribadi telah dihapus oleh Microsoft, bahaya dari terbukanya data itu tidak bisa diremehkan. Data yang sifatnya pribadi dapat dimanfaatkan para scammers untuk melakukan hal-hal yang merugikan.

Scammers  dapat berpura-pura menjadi perwakilan dukungan teknis dari Microsoft untuk menghubungi para pengguna yang datanya bocor. Dengan catatan dan informasi secara rinci, para scammers memiliki peluang lebih besar untuk menipu targetnya.

"Pelanggan Microsoft harus selalu waspada terhadap penipuan semacam itu yang melalui telepon dan email."

Selain itu, perlu diketahui bahwa karyawan Microsoft tidak akan meminta password atau meminta pengguna meng-install aplikasi yang berpotensi berbahaya, seperti TeamViewer. Itu merupakan modus umum para scammers teknologi guna meraup keuntungan dari para korban. []

Redaktur: Arif Rahman