Cyberthreat.id - Peneliti keamanan siber dari vpnMentor menemukan potensi peretasan data pada aplikasi fotografi bernama PhotoSquared. Disebutkan, database yang disimpan di penyimpanan cloud tidak dienkripsi sama sekali alias terbuka begitu saja.

"Database yang terbuka berpotensi membahayakan privasi dan keamanan dari 100.000 pengguna PhotoSquared dengan mengungkapkan sejumlah besar foto sensitif dan informasi pribadi," tulis laporan vpnMentor dalam situs resminya, Selasa (18 Februari 2020).

PhotoSquared adalah aplikasi fotografi yang juga melayani percetakan foto berbasis di Amerika Serikat. Aplikasi tersebut dapat diunduh pada sistem operasi iOS dan Android secara gratis. Aplikasi ini telah diunduh oleh lebih dari 100 ribu pelanggan. Itu artinya dipastikan hampir seluruh pengguna aplikasi tersebut terdampak.

Menurut laporan itu, basis data aplikasi PhotoSquared di-hosting dalam Amazon Web Service (AWS) dengan menggunakan Amazon S3 bucket dengan nama perusahaan di URL basis datanya.

Amazon S3 bucket adalah sumber daya penyimpanan cloud publik yang tersedia di layanan penyimpanan sederhana AWS. Amazon S3 ini dapat digunakan untuk menyimpan segala jenis objek yang memungkinkan untuk menyimpan aplikasi berbasis internet, cadangan dan pemulihan, arsip data hingga dapat menyimpan data untuk analitik.

"PhotoSquared tidak merujuk pada protokol keamanan dan penyimpanan data pengguna dalam ketentuan layananannya atau menjelaskan langkah apapun yang diambil dalam hal ini," kata tim vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar.

Dengan tidak mengamankan basis datanya, tentu PhotoSquared telah menempatkan penggunanya dalam bahaya nyata. Basis data yang dimaksud itu berisi lebih dari satu juta catatan dengan total 94,7GB data yang diisi sejak November 2016 hingga Januari 2020.

"Tim kami dapat mengakses bucket ini karena benar-benar tidak aman dan tidak dienkripsi," tambah vpnMentor.

Contoh data terbuka yang ditemukan oleh vpnMentor di aplikasi Photosquared

Perlu diingat, Amazon S3 bucket yang terbuka dan dapat dilihat secara umum bukanlah suatu bug atau kecacatan dari AWS. Permasalahannya ialah PhotoSquared tidak mengikuti protokol keamanan dari AWS.

Adapun file atau data yang diunggah dan berpotensi disalahgunakan oleh aktor jahat, diantaranya foto penguna, catatan pesanan dan tanda terima percetakan foto dalam bentuk PDF, label pengiriman USPS (perusahaan jasa pos dan ekspedisi di AS) untuk pengiriman foto, informasi pribadi termasuk nama lengkap pengguna, alamat rumah pengiriman, dan nilai pesanan dalam US$.

Informasi semacam itu, kata vpnMentor, dapat digunakan oleh oknum dalam berbagai skema ilegal, seperti mencuri identitas lebih dalam lagi, misalnya identifikasi korban di media sosial, melakukan penipuan finansial atau kartu kredit atau yang dikenal teknik social engineering serta menyerang korbannya dengan perangkat lunak berbahaya seperti spyware dan ransomware.

vpnMentor juga menyebutkan PhotoSquared berisiko melakukan tindakan melanggar hukum dan denda karena pelanggaran data. Sebab, aplikasi ini berisiko melanggar regulasi CCPA atau Undang-Undang Privasi Konsumen California.[]

Editor: Yuswardi A. Suud