Perusahaan Toko Kasur di Wisconsin Bocorkan Data Pelanggan

Cyberthreat.id – Bagaimana kita bisa tidur nyaman di atas kasur baru jika toko kasur tempat kita beli justru membocorkan data pembelinya?

Ini terjadi di sebuah perusahaan kasur asal Wisconsin. Perusahaan itu membocorkan catatan 387.000 pelanggan online dalam basis data (database) yang tidak memiliki perlindungan kata sandi.

Peneliti keamanan siber dan analis teknologi SecurityDiscovery, Jeremiah Fowler, mengatakan, dirinya menemukan basis data online “Customers” pada 5 September lalu.

Dalam penyelidikan lebih lanjut, ia menemukan setiap file berisi referensi ke “Verlo Mattress Factory”–tampaknya merujuk ke pabrik kasur Verlo– dan "Tampaknya merupakan data pelanggan," kata dia seperti dikutip dari Threatpost, yang diakses Minggu (22 September 2019).

Kumpulan basis data — yang berisi 387.604 catatan berupa: nama, nomor telepon, email, alamat rumah, dan alamat penagihan — terbuka dan terlihat di peramban mana pun. Siapa saja bisa mengedit, mengunduh, atau bahkan menghapus data tanpa kredensial administratif, menurut Fowler.

Data yang ditemukan dalam file, kata Fowler, juga termasuk kredensial login dengan kata sandi hash (disamarkan) untuk pengguna internal serta alamat internet protocol (IP), port, jalur (pathways) dan penyimpanan (storage). Semuanya itu memungkinkan penjahat siber mengakses lebih dalam ke sumber daya jaringan lain.

Sementara file-file itu sepertinya berasal dari satu toko, merujuk “Costumers-VMFS dari Greenfield,” sebuah kota di Wisconsin tempat Verlo memiliki waralaba.

Fowler menemukan bahwa kemungkinan paparannya lebih luas dari itu. “Basis data yang terbuka ini memungkinkan siapa saja yang memiliki koneksi internet untuk melihat jenis data apa yang sedang disimpan dan dikumpulkan di ‘ekosistem teknologi Verlo’,” kata Fowler.

Fowler mengatakan dia melakukan beberapa upaya untuk menghubungi Verlo Mattress untuk komentar tanpa balasan atau pengakuan. Namun, aksesnya ke database dibatasi segera setelah pemberitahuan pertama, katanya. Perusahaan ini dimiliki oleh Marcus Investments, dengan kantor perusahaan di Milwaukee.

Fowler mengatakan, belum tahu apakah satu set data waralaba itu bersifat tunggal atau lebih. "Siapa yang mengaturnya? Apakah itu kantor perusahaan atau franchise yang bertanggung jawab?" kata dia.

Menurut Fowler, basis data dan server yang tidak terlindungi dan rentan praktik intrusi online adalah penyebab utama paparan data privasi konsumen. Imbasnya adalah dapat membuat jutaan orang menjadi sasaran kejahatan siber.

Kasus pelanggaran data ini sebelumnya dialami oleh raksasa kosmetik Yves Rocher. Data pribadi jutaan pelanggannya dan bertumpuk-tumpuk informasi sensitif internal perusahaan terekspose kepada publik karena server online dibiarkan tidak terlindungi oleh konsultan pihak ketiga.

“Pelanggaran data telah menjadi kenyataan yang tak terelakkan dalam melakukan bisnis dan hampir mustahil untuk dihindari,” kata Fowler.

Karena itu, Fowler menekankan bahwa hal terbaik yang dapat dilakukan adalah memiliki rencana mitigasi yang solid untuk menghadapi skenario buruk dan segera melakukan perbaikan.