Cyberthreat.id - Seorang peneliti dari Security Discovery, Jeremiah Fowler, menemukan 440 juta catatan data pelanggan brand kosmetik raksasa Amerika Serikat (AS) Estee Lauder mengalami kebocoran. Data yang dikompromikan termasuk email teks melalui database online.

Fowler pada 30 Januari lalu mengklaim database milik Estee Lauder tidak dilindungi dengan password yang berakibat memaparkan 440.336.852 data pelanggan. Tidak jelas berapa banyak jumlah email pengguna yang terekspose namun Estee Lauder membantah jika email yang terekspose milik pelanggan mereka.

"Fowler mengatakan jika data email yang bocor itu adalah milik domain @estee.com," tulis Info Security.

Sejauh ini, kata Fowler, tidak ada tanda-tanda data pembayaran atau informasi sensitif milik karyawan dalam database tersebut. Meski demikian, ia memperingatkan bahwa informasi lain yang terkandung dalam database mungkin menarik bagi penyerang.

Terlebih, ada jutaan catatan yang berkaitan dengan middleware yang digunakan oleh perusahaan Estee Lauder. Middleware bisa disebut sebagai perangkat lunak yang berperan sebagai "penengah" antara sebuah aplikasi dengan aplikasi lain untuk mempermudah proses integrasi antara aplikasi-aplikasi tersebut. 

"Manajemen data, layanan aplikasi, pengiriman pesan, otentikasi, dan manajemen API semua biasanya ditangani oleh middleware," kata Fowler.

Bahaya lain dari paparan ini adalah middleware dapat membuat jalur sekunder untuk malware yang melaluinya dan membuat aplikasi maupun data dapat dikompromikan oleh peretas. Dalam hal ini, siapa pun yang memiliki koneksi internet dapat melihat versi yang sedang digunakan, jalurnya, dan informasi lain yang dapat berfungsi sebagai backdoor ke dalam jaringan.

Meskipun butuh beberapa upaya untuk menyampaikan rincian penemuannya kepada tim Estee Lauder, Fowler mengatakan perusahaan raksasa itu bertindak cepat dan profesional untuk memblokir akses publik ke database pada hari penemuannya. []

Redaktur: Arif Rahman