Cyberthreat.id – Data informasi pribadi milik puluhan ribu pengguna ganja di Amerika Serikat yang disimpan di “ember” cloud Amazon Web Services (AWS) S3 bocor secara online karena kesalahan konfigurasi cloud.

Kebocoran data tersebut ditemukan oleh peneliti vpnMentor, perusahaan penyedia layanan VPN juga meriset terkait pelanggaran data, seperti dikutip dari Infosecurity Magazine, Kamis (23 Januari 2020).

Peneliti vpnMentor menyebutkan bahwa jumlah file yang terekspose mencapai lebih dari 85.000, termasuk sekitar 30.000 catatan informasi pengenal pribadi (personally identifiable information/PII).

Menurut peneliti, informasi sensitif tersebut bisa bocor lantaran perusahaan perangkat lunak THSuite yang melayani sejumlah toko/apotek penjualan ganja meninggalkan ember cloud dalam keadaan tak terkunci.

Ada tiga apotek yang menggunakan perangkat lunak THSuite terkena dampak kebocoran data, yaitu Amedicanna Dispensary, Bloom Medicinals, dan Colorado Grow Company. Apotek-apotek ini tersebar di sejumlah lokasi.

Informasi pribadi yang terekspose tersebut, antara lain nama, alamat rumah, email, tanggal lahir, nomor telepon, nomor ID medis, dan lain-lain. Toko-toko atau apotek tersebut melayani penjualan ganja baik pasien medis maupun umum.

Dengan adanya kebocoran tersebut, peneliti mengatakan, “Pasien medis memiliki hak hukum untuk merahasiakan informasi medis mereka untuk alasan yang baik. Pasien yang informasi pribadinya bocor dapat menghadapi konsekuensi negatif baik secara pribadi maupun profesional,” tutur peneliti.

Di bawah UU Health Insurance Portability and Accountability, menurut meneliti, adalah sebuah kejahatan di AS, bagi penyedia layanan kesehatan apa pun yang mengekspose informasi kesehatan yang dilindungi (PHI).

---

Berita Terkait:

• Data Pelanggan Bocor, Situs Web Cannabis Ingatkan Pengguna

---

Pengungkapan itu juga dapat membahayakan pengguna rekreasi, terutama jika majikan mereka melarang penggunaan ganja, mereka melanjutkan. Basis data tersebut rupanya termasuk salinan identitas pemerintah dan karyawan yang dipindai.

Dari perspektif kejahatan dunia maya, kebocoran data juga bepeluang menguntungkan peretas jahat untuk membuat email, teks, dan panggilan phisihng yang meyakinkan, dan sekalig, bisa berupaya melakukan penipuan identitas.

Peneliti vpnMentor menemukan tumpukan data bocor tersebut melalui pemindaian sederhana pada 24 Desember 2019. Setelah menghubungi pemiliknya pada 26 Desember, masalah itu akhirnya ditangani dan ditutup pada 14 Januari 2020. Amazon AWS sendiri dikontak pada 7 Januari 2020.

Kesalahan konfigurasi cloud seperti kejadian ini masih menjadi sumber utama risiko siber bagi institusi/perusahaan mana pun di seluruh dunia.

vpnMentor beberapa kali menemukan jutaan catatan pengguna yang dibocorkan oleh perusahaan, seperti data pelanggan milik raksasa kosmetik Yves Rocher, lalu data pelanggan Best Western Hotel dan Telco Freedom Mobile dari Kanada.[]