Circle-K AS Mengekspose Data Sensitif Milik Pelanggannya
illustrasi
Cyberthreat.id – Peneliti keamanan dari Cybernews mengungkapkan bahwa jaringan toko serba ada Circle-K di Amerika Serikat membocorkan informasi pribadi milik karyawan dan pelanggan kepada publik.
Dikutip dari Cybernews, pada 12 Januari lalu, tim peneliti menemukan kumpulan data Circle K US terbuka dengan banyak informasi sensitif. Antara lain nomor kartu pembayaran sebagian, nomor kartu loyalitas pelanggan penuh, data pembelian, alamat email karyawan, nomor telepon, dan kode pos data.
“Jika dieksploitasi, kumpulan data dapat menyebabkan pencurian identitas, penipuan keuangan, dan kampanye phishing yang ditargetkan, di antara aktivitas kriminal lainnya,” kata peneliti Cybernews.
Peneliti mengatakan, pihaknya telah memberi tahu perusahaan tentang kebocoran tersebut, dan Circle K segera memperbaiki masalah tersebut. Hal ini dilakukan untuk memastikan keamanan data, namun hingga saat ini perusahaan belum menanggapi permintaan komentar yang lebih komprehensif tentang masalah ini.
Peneliti Cybernews menemukan penyimpanan gumpalan Azure internal perusahaan yang diekspos ke publik. Penyimpanan blob Azure biasanya digunakan untuk membuat data lake untuk analisis dan saat membangun aplikasi cloud-native dan seluler.
Menurut peneliti, cloud Azure digunakan untuk menyimpan informasi internal, seperti log transaksi terminal point of sale (POS) dan data pajak, karyawan, dan inventaris. Terminal POS adalah perangkat yang digunakan untuk memproses transaksi oleh pelanggan ritel. Circle K mencatat informasi mendetail tentang pembelian, termasuk item, harga, tanggal, dan stempel waktu, nomor kartu loyalitas penuh, nomor kartu kredit sebagian, dan data transaksional lainnya.
Informasi yang bocor dapat memberi pelaku ancaman akses ke lokasi pelanggan dan kebiasaan belanja, dan bahkan memungkinkan untuk menebak detail pembayaran, yang secara alami akan menyebabkan kerugian finansial.
Sementara Circle K hanya menyimpan sebagian informasi kartu kredit dalam format 511111XXXXXX1234, peneliti mengklaim itu masih berharga karena enam nomor kartu pertama menunjuk ke penerbit kartu, dan empat digit terakhir menunjukkan pemiliknya.
“Memiliki informasi ini dan informasi lain yang mudah diakses memungkinkan seseorang menyamar sebagai seseorang saat menelepon bank, memverifikasi beberapa transaksi, dan menyebabkan kerugian finansial,” kata peneliti.
Tak hanya itu, dataset juga berisi detail lengkap dari kartu loyalitas. Meskipun itu adalah barang harian bagi banyak orang, kami mengabaikan keamanannya, tidak pernah berasumsi bahwa itu dapat mengungkapkan informasi kami. Pada kenyataannya, pelaku ancaman dapat mengeksploitasi data tersebut untuk memetakan lokasi kita dan berpotensi melacak kita.
Selain itu, peneliti melihat bahwa kumpulan data terbuka juga menyimpan data karyawan yang sensitive. Seperti, nama lengkap, alamat email pribadi, nomor telepon, status dan ID pekerjaan, kode pos, tanggal perekrutan karyawan, jabatan, dan lokasi kerja.
“Akun pribadi dapat menjadi sasaran kampanye phishing, yang mengarah ke akses tidak sah ke alat internal dan POS itu sendiri. Ini membuka jendela untuk kegiatan penipuan atas nama karyawan," jelas peneliti.
Mereka tidak dapat memperkirakan ukuran kebocoran karena akan membutuhkan pemindaian yang mengganggu seluruh gumpalan penyimpanan. Namun, mereka mencatat bahwa kumpulan data menyimpan semua transaksi dari awal tahun 2021, dengan 5.000-6.000 file transaksi dicatat setiap hari.
Sementara itu, menurut laporan FBI, lebih dari 14.500 toko serba ada dan hampir 8.000 pompa bensin dirampok pada tahun 2021 saja, menjadikannya salah satu target utama para penjahat. Membiarkan data sensitif karyawan terbuka akan membuat pekerjaan mereka lebih mudah.
Oleh karena itu, melindungi setiap kumpulan data terbuka sangat penting untuk setiap organisasi. Adapun gumpalan penyimpanan Azure, Microsoft telah mencantumkan beberapa rekomendasi keamanan. Setiap instansi harus diperlakukan sebagai publik dan diamankan tanpa jalan pintas. Upaya ekstra diperlukan bila kumpulan data berisi data sensitif yang dapat dieksploitasi untuk merugikan karyawan, pelanggan, dan perusahaan itu sendiri.
“Pada tahun 2023, data dapat digunakan sebagai senjata dan harus diperlakukan seperti itu tanpa pemotongan anggaran operasional agar tetap seperti itu,” kata para peneliti.
