REPUBLIKA.CO.ID, JAKARTA -- Peneliti keamanan siber telah menemukan bucket Amazon S3 yang salah dikonfigurasi mengekspos informasi pengenal pribadi (PII) milik tiga juta warga senior Amerika Serikat (AS). Pelanggaran ini ditemukan oleh para peneliti di WizCase.
Dilansir dari Tech Radar, Kamis (12/8), bucket yang salah dikonfigurasi berisi lebih dari 180GB data, memperlihatkan nama dan detail kontak lebih dari tiga juta orang. Bucket itu adalah wadah penyimpanan cloud milik SeniorAdvisor, yang merupakan situs web untuk perawatan dan layanan senior di seluruh AS dan Kanada.
“Bucket Amazon S3 yang salah dikonfigurasi sering kali mengkhawatirkan. Ini menyoroti bahwa pemilik situs jelas tidak menyadari skala kerentanan ini, terutama ketika data tidak dienkripsi, yang mengarah pada hasil yang berpotensi menjadi bencana," kata Jake Moore, spesialis keamanan siber di ESET.
WizCase menghubungi SeniorAdvisor dan sejak saat itu perusahaan telah mengamankan bucket tersebut. Para peneliti mencatat bahwa bucket S3 dapat diakses oleh siapa saja di internet dan informasi di dalamnya tidak dienkripsi.
Menurut analisis mereka, sebagian besar data yang terekspos adalah dalam bentuk prospek dan termasuk detail kontak pelanggan potensial yang menurut WizCase ditargetkan melalui berbagai kampanye email atau telepon.
Informasi tersebut juga mencantumkan tanggal pengguna dihubungi, yang berkisar dari 2002 hingga 2013, meskipun file itu sendiri diberi stempel waktu 2017. Selain PII, WizCase juga menemukan sekitar dua ribu ulasan yang dihapus dari detail pengguna. Namun, semua ulasan memiliki id utama, yang dapat digunakan untuk mengeluarkan detail pengguna yang dilupakan tanpa banyak usaha.
Berdasarkan laporan Lembaga konsumen Amerika (FTC), WizCase berpendapat bahwa orang-orang dalam kelompok usia 60-69 tahun kehilangan rata-rata 600 dolar AS per penipuan. Angka tersebut meningkat menjadi 1.700 dolar AS per penipuan rata-rata untuk orang-orang dalam kelompok usia 80-89 tahun.
Secara khusus, laporan tersebut menemukan bahwa warga lanjut usia lebih cenderung jatuh ke dalam berbagai macam penipuan termasuk penipuan dukungan teknis, penipuan hadiah/undian, penipuan belanja online dan penipuan telepon. Semua bentuk penipuan itu bisa dilakukan dengan menggunakan PII di database yang bocor.