BlueKai Bocorkan Miliaran Data Pelacakan Web, Insiden Terbesar Setelah ElasticSearch 2019

Ilustrasi. | Foto: cyware.com

Cyberthreat.id - Di era digital, hampir semua industri telah menyadari nilai data pengguna yang diambil secara online. Alasan inilah yang membuat beberapa agensi global telah menjadi pemanen informasi/data pribadi dari miliaran orang yang tak terhitung jumlahnya setiap hari.

Tetapi, memanen data ini juga yang menghadapkan manusia dengan berbagai risiko terkait dengan sistem seperti itu. Misalnya dalam kasus yang terungkap dalam kebocoran data BlueKai baru-baru ini.

Apa itu BlueKai?

BlueKai adalah platform big data berbasis cloud yang memungkinkan perusahaan untuk mempersonalisasi kampanye pemasaran online, offline, dan mobile. BlueKai didirikan pada 2008 oleh Omar Tawakol, Alexander Hooshmand, dan Grant Ries, sebagai start-up teknologi pemasaran yang berbasis di Cupertino, California.

Pada 24 Februari 2014, BlueKai diakuisisi Oracle dengan harga sekitar $ 400 juta (Rp 5,6 triliun).

Perusahaan ini menawarkan layanan pengumpulan data pihak ketiga. BlueKai mengumpulkan Data pengguna PC dan smartphone untuk meningkatkan pemasaran iklan untuk klien mereka. Menurut Wikipedia, pada tahun 2015 saja, layanan BlueKai telah memiliki sekitar 700 juta profil yang dapat ditindaklanjuti.

BlueKai telah bekerja sama dengan raksasa global seperti Twitter dan Facebook untuk memastikan relevansi dalam iklan yang muncul bagi pengguna dan untuk kepentingan perusahaan tersebut.

Sebagai perusahaan pengumpulan data pihak ketiga, BlueKai mengumpulkan data/informasi tentang pengguna yang menjelajahi web (web tracking) lalu mengolahnya. Dalam pernyataannya, BlueKai mengklaim tidak mengumpulkan detail keuangan yang sensitif, materi dewasa, atau masalah kesehatan.

Sejauh ini BlueKai telah menerima banyak kritikan karena pengguna merasa layanan yang mereka berikan sebagai pelanggaran privasi.

Kebocoran Data

Platform cloud pemasaran sebesar BlueKai - mengekspos data sensitif dalam sebuah pelanggaran data - tentu saja akan menjadi berita besar karena pelanggannya adalah para raksasa global.

Bulan ini, Oracle BlueKai meninggalkan database terbuka tanpa jaminan yang berisi miliaran catatan seperti nama, alamat rumah, email, dan aktivitas penelusuran web pengguna yang sensitif - mulai dari dari data pembelian hingga buletin berlangganan (newsletter unsubscribes).

BlueKai melacak 1,2% dari semua lalu lintas web, termasuk melacak beberapa situs web terbesar dunia seperti: Amazon, ESPN, Forbes, Glassdoor, Healthline, MSN[.]com, Levi's, Rotten Tomatoes, dan The New York Times.  Mengingat besarnya volume data pada server tanpa jaminan ini, pelanggaran data oleh BlueKai ini sudah dianggap sebagai salah satu kesalahan cybersecurity terbesar tahun 2020.

Investigasi yang dilakukan Oracle mengungkapkan perusahaan terkait tidak mengkonfigurasi layanan mereka dengan benar. Kondisi inilah yang mengarahkan insiden kepada Mega Breach ini.

Insiden ElasticSearch

Tahun lalu terjadi insiden kebocoran data yang terpapar karena kelalaian dan ketidakberuntungan. Pada November 2019, server ElasticSearch yang berisi lebih banyak data (dari BlueKai) mengalami pelanggaran data. Sekitar 4 miliar akun pengguna (dengan 1,2 miliar pengguna unik) bocor, termasuk nama, nomor telepon, email, LinkedIn, dan profil Facebook.

Data tersebut milik perusahaan pengayaan data, termasuk People Data Labs atau PDL, dan OxyData.Io atau OXY.

"Insiden ini dianggap sebagai kebocoran data terbesar pada 2019," tulis Cyware Hacker News, Kamis (25 Juni 2020).

Insiden kebocoran data oleh alat atau agen pengumpulan data seperti BlueKai adalah masalah sensitif. Pada Juni 2020, Google dituntut dengan gugatan $ 5 miliar di AS untuk melacak penggunaan internet 'pribadi' melalui browser yang diatur dalam mode "pribadi".

Untuk menghindari kejadian ini, pengguna diimbau untuk selalu menggunakan web browser yang aman dan VPN untuk privasi. Selalu gunakan aplikasi terenkripsi untuk menjaga percakapan online tetap pribadi. Jangan izinkan situs web atau plugin browser menyimpan data sensitif apa pun seperti nomor kartu kredit atau kredensial masuk dalam bentuk cookie.[]

--------------------------

Ikuti Honeynet Project Workshop - Peran Honeynet pada Sistem Pemerintahan Berbasis Elektronik (SPBE) yang akan digelar pada
Rabu 20 Januari 2021 pukul 09.30 -12.00 WITA.

--------------------------