Data Pribadi 188 Juta Orang Bocor dari MongoDB

Kent, Cyberthreat.id - Periset keamanan siber Bob Diachenko bersama Paul Bischoff, jurnalis comparitech.com menemukan sebuah database MongoDB yang berisi hampir 188 juta data pribadi terekspos di internet. Data ini bisa diakses siapa saja yang mempunyai koneksi internet. Sebagin data berasal dari situ pencari Pipl.com dan situs database hukum LexisNexis.

Bob Diachenko menyatakan bahwa kelemahan MongoDB dalam otentikasi memungkinkan hacker menanamkan malware di server MongoDB. "Sekali malware sudah menyusup, penjahat bisa mengakses server dari jarak jauh dan bahkan menjalankan kode untuk mencuri atau merusak seluruh data yang tersimpan di server," katanya.

Data yang bocor ini berisi informasi pribadi seperti nama lengkap, alamat email, alamat rumah, nomor telepon, afiliasi politik, kepemilikan properti dan mobilnya, bahkan sampai data tetangganya. Data ini terindeks di mesin pencari pada 17 Juni lalu. Diachenko dan Bischoff menelusuri database tersebut sampai ke sebuah repo di Github. Mereka memberitahu soal data yang terekspos itu kepada pemiliknya yang kemudian menutup akses ke database itu pada 3 Juli.

Koleksi 188 juta data pribadi di Github | image: comparitech.com

Belum diketahui apakah data tersebut diambil tanpa izin atau dibeli dari Pipl dan LexisNexis. Tampaknya Pipl dan LexisNexis juga tidak mengalami kebocoran data akhir-akhir ini. LexisNexis pernah diterobos dua kali di masa lalu, pada 2005 dan 2013. Penerobosan pertama membuat kebocoran 310.000 data pribadi namun LexisNexis tidak memberitahu berapa jumlah data pribadi yang bocor pada penerobosan kedua. 

Berbeda dengan LexisNexis, broker data seperti Pipl mendapatkan data pribadi dari berbagai sumber umum maupun yang berhak cipta (Saat ini Pipl memiliki koleksi 20 miliar data pribadi). Mereka tidak pernah memberitahu atau meminta izin dari sumber data. Jika Anda warga Amerika Serikat, sangat besar kemungkinan Anda akan dapat ditemukan di situs broker data seperti Pipl, ZabaSearch, WhitePages.com, Wink, dan PeekYou. Jika Anda ingin menghilangkan informasi Anda dari situs seperti itu, Anda harus meminta sumber asal data tersebut untuk membuangnya. Masalahnya, untuk mengetahui sumber data di situs seperti Pipl, Anda harus membayar biaya pencarian yang berkisar $0.1 - $0.4 per item yang ditemukan.