Cyberthreat.id - Platform web hosting raksasa DigitalOcean mengungkapkan baru-baru ini mengalami insiden kebocoran data yang memaparkan informasi pelanggan kepada pihak ketiga yang tidak dikenal.

Hingga saat ini Digital Ocean belum merilis pernyataan secara publik, tetapi sudah memperingatkan pelanggan yang terdampak, khususnya terkait ruang lingkup pelanggaran melalui email.

Menurut pemberitahuan tersebut, kebocoran data terjadi karena kelalaian di mana DigitalOcean secara "tidak sengaja" meninggalkan dokumen internal yang dapat diakses di internet tanpa memerlukan password.

"Dokumen berisi email dan/atau nama akun (nama akun yang diberikan saat mendaftar) serta beberapa data tentang akun seperti jumlah Droplet, penggunaan bandwidth, beberapa catatan komunikasi support dan sales, dan jumlah uang yang dibayarkan pelanggan selama 2018," demikian keterangan resmi DigitalOcean dilansir The Hacker News, Jumat (8 Mei 2020).

Investigasi sementara mengungkapkan bahwa file yang terbuka dan berisi data pelanggan diakses oleh pihak ketiga sebanyak 15 kali sebelum dokumen akhirnya dihapus.

"Komunitas kami dibangun atas dasar kepercayaan. Jadi, kami mengambil langkah-langkah untuk memastikan ini tidak terjadi lagi."

"Kami akan melakukan edukasi karyawan tentang bagaimana melindungi data pelanggan, menetapkan prosedur baru sebagai peringatan terkait potensi paparan, dan membuat perubahan konfigurasi guna mencegah kebocoran di masa depan," tulis perusahaan.

Sebagai catatan, pelanggaran data ini tidak berarti website DigitalOcean diretas atau kredensial login pelanggan bocor ke penyerang.

Artinya, jika pengguna memiliki akun dengan layanan hosting, tidak perlu terburu-buru mengubah password.  Namun, layanan ini menawarkan otentikasi dua faktor (2FA) yang harus diaktifkan setiap pengguna untuk memperkuat keamanan di akunnya.

Tanggapan DigitalOcean

Seorang juru bicara perusahaan mengatakan kepada The Hacker News tentang kejadian tersebut dengan membagikan sebuah pernyataan.

"Kami menemukan dokumen yang dibagikan secara publik, tetapi kami merasa yakin tidak ada akses berbahaya ke dokumen itu. Kami telah memberi tahu pelanggan, terlepas dari sikap transparansi," ungkap juru bicara tersebut.

"Kurang dari 1% dari basis pelanggan kami terkena dampak, dan satu-satunya Personal Identification Information (PII) yang termasuk dalam file itu hanya nama akun dan alamat email."

Perusahaan juga menegaskan kebocoran data tidak terkait dengan tindakan jahat untuk mengakses sistem perusahaan.

"Pelanggan mempercayai kami dengan data mereka dan kami percaya bahwa penggunaan data itu tanpa disengaja, sekecil apa pun, ada alasan yang cukup untuk menjadi transparan."