Liputan6.com, Jakarta - Peneliti dark web Vinny Troia benemukan sebuah database yang mudah diakses di server yang tidak aman. Database berukuran 4 terrabyte (TB) ini memuat sekitar 1,2 miliar data pribadi milik pengguna.
Data ini memang tidak berisi informasi sensitif seperti password, nomor kartu kredit, atau nomor jaminan sosial pemiliknya.
Advertisement
Baca Juga
Namun, mengutip laman Wired, Minggu (24/11/2019), data ini berisi ratusan juta profil dan nomor telepon yang terhubung dengan media sosial seperti Facebook, Twitter, LinkedIn, dan GitHub.
Tidak hanya itu, riwayat kerja para pengguna juga didapatkan dari LinkedIn yang berisi 50 juta nomor telepon dan 622 juta alamat email.
"Ini sangat buruk, seseorang membuatnya terbuka luas. Ini pertama kalinya saya lihat ada profil media sosial dikumpulkan, digabungkan dengan milik pengguna lain ke dalam satu database dengan skala besar," kata Troia.
Tak Tahu Siapa yang Kumpulkan Data
Sekadar informasi, Troia menemukan server tersebut bersama peneliti keamanan Bob Diachenko melalui layanan pemindaian web BinaryEdge dan Shodan.
Alamat IP untuk server hanya ditelusuri ke Google Cloud Service, sehingga tidak tahu siapa yang mengumpulkan data di sana.
Ia juga tidak memiliki cara untuk mengetahui apakah ada orang lain yang telah menemukan data dan mengunduhnya sebelumnya. Namun dia menyebut, server ini mudah ditemukan.
Menurut tes yang dilakukan Wired, alamat email orang-orang yang ada di database tersebut cukup akurat.
Troia mengaku telah melaporkan temuannya ke FBI dan dalam beberapa jam, sudah ada pihak yang mematikan server itu.
Dia mengatakan, database itu memiliki sebuah label, diduga milik si pemilik label yakni People Data Labs (PDL), sebuah data broker berbasis di San Francisco.
Advertisement
Bukan Bocor karena Dibobol
PDL mengklaim, situs webnya memiliki data berisi lebih dari 1,5 miliar orang untuk dijual, termasuk 260 juta orang di Amerika Serikat.
PDL juga mempromosikan lebih dari 1 miliar alamat email pribadi, 420 juta URL LinkedIn, lebih dari 1 miliar URL dan ID Facebook, serta lebih dari 400 juta nomor telepon dan 200 juta nomor ponsel valid di AS.
Pendiri PDL Sean Thorne mengatakan, perusahaannya bukan merupakan pemilik server yang berisi data-data tersebut.
"Pemilik server ini kemungkinan memakai salah satu produk pengayaan kami, bersama dengan sejumlah pengayaan data atau layanan lisensi lainnya," kata Sean Thorne, pendiri PDL.
Ia menegaskan, ketika pelanggan menerima data dari PDL, data di server mereka beserta keamanannya adalah tanggung jawab si pelanggan.
Troia menjelaskan, boleh jadi PDL tidak dibobol, tetapi kemungkinan si penyerang mendaftar free trial dari iklan PDL, yang menawarkan 1.000 profil konsumen per bulannya.
"Misal 1.000 profil buatan di 1.000 akun, mereka pun mendapatkan banyak," tuturnya.
(Tin/Why)