Sejak bulan April, seorang peretas dengan riwayat menjual data curian telah mengklaim adanya pelanggaran data terhadap miliaran catatan – yang berdampak pada setidaknya 300 juta orang – dari pialang data AS, yang menjadikannya salah satu dugaan pelanggaran data terbesar tahun ini.
Data tersebut, yang dilihat oleh TechCrunch, tampaknya sebagian sah – meskipun tidak sempurna. Data yang dicuri, yang diiklankan di forum kejahatan dunia maya, diduga berasal dari tahun-tahun yang lalu dan mencakup nama lengkap warga AS, riwayat alamat rumah mereka, dan nomor Jaminan Sosial – data yang tersedia secara luas untuk dijual oleh pialang data.
Namun mengonfirmasi sumber dugaan pencurian data terbukti tidak dapat disimpulkan, seperti sifat industri pialang data, yang melahap data pribadi individu dari sumber berbeda dengan sedikit atau tanpa kontrol kualitas.
Dugaan broker data yang dimaksud, menurut peretas, adalah National Public Data, yang menyebut dirinya sebagai “salah satu penyedia catatan publik terbesar di Internet.”
Di situs resminya, Data Publik Nasional diklaim untuk menjual akses ke beberapa database: “People Finder” dimana pelanggan dapat mencari berdasarkan nomor Jaminan Sosial, nama dan tanggal lahir, alamat, atau nomor telepon; database data konsumen AS “yang mencakup lebih dari 250 juta individu;” database berisi data registrasi pemilih yang memuat informasi 100 juta warga AS; catatan kriminal satu, dan beberapa lagi.
Kelompok riset malware vx-underground berkata pada X (sebelumnya Twitter) bahwa mereka meninjau seluruh database yang dicuri dan dapat “mengonfirmasi bahwa data yang ada di dalamnya adalah nyata dan akurat.”
“Kami mencari beberapa individu yang bersedia informasinya dicari,” tulis kelompok tersebut, seraya menambahkan bahwa mereka dapat menemukan informasi orang-orang tersebut, termasuk nama, riwayat alamat selama lebih dari tiga dekade, dan nomor Jaminan Sosial.
“Itu juga memungkinkan kami menemukan orang tua mereka, dan saudara terdekatnya. Kami dapat mengidentifikasi seseorang [sic] orang tua, kerabat almarhum, Paman, Bibi, dan Sepupu,” tulis vx-underground.
TechCrunch melakukan upaya serupa untuk memverifikasi keaslian data, dengan hasil yang beragam.
Hubungi kami
Apakah Anda memiliki informasi lebih lanjut tentang kejadian ini, atau kejadian serupa? Dari perangkat yang tidak berfungsi, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, atau melalui Telegram, Keybase dan Wire @lorenzofb, atau email. Anda juga dapat menghubungi Zulkarnain Saer Khan di Signal di +36707723819, atau di X @ZulkarnainSaer. Anda juga dapat menghubungi TechCrunch melalui SecureDrop.
Dalam tinjauan kami terhadap sampel yang lebih kecil yaitu lima juta data, kami menemukan banyak sekali nama dan alamat yang cocok dengan data publik yang bersangkutan, namun juga beberapa data yang tidak selalu masuk akal — seperti alamat email dengan nama berbeda yang tidak memiliki kaitan jelas dengan data tersebut. sisa data individu terkait. Beberapa catatan berisi dugaan informasi tentang orang-orang terkenal, termasuk data pribadi mantan presiden AS.
TechCrunch memberi USDoD, peretas yang menjual data, nama delapan orang yang memberikan persetujuannya, dalam upaya memverifikasi bahwa peretas benar-benar memiliki data yang sah. Peretas tidak mengembalikan data apa pun untuk delapan orang tersebut.
TechCrunch juga menghubungi seratus orang yang nomor dan emailnya ada dalam sampel. Hanya satu orang yang merespons, dan mengonfirmasi bahwa sebagian dari dugaan data yang dicurinya akurat, namun tidak semuanya.
Langsung ke dugaan sumber pencurian data juga tidak memberikan jawaban banyak.
Meskipun ada beberapa upaya untuk menghubungi perusahaan tersebut, National Public Data belum memberikan tanggapan, begitu pula pendiri dan CEO perusahaan tersebut, Salvatore Verini. Setelah TechCrunch pertama kali menghubungi Data Publik Nasional minggu lalu, perusahaan tersebut menghapus halaman situs webnya yang berisi rincian tentang database yang aksesnya dijual.
Tidak semua pembobolan data yang diklaim oleh peretas, terutama yang diiklankan di forum peretasan, ternyata nyata. Itu sebabnya TechCrunch dan reporter keamanan siber lainnya sering menghabiskan banyak waktu untuk memverifikasi pelanggaran data, upaya yang terkadang berakhir dengan hasil yang tidak meyakinkan.
Namun dugaan pelanggaran terhadap pialang data ini tampaknya merupakan hal yang aneh, sebagian karena beberapa data tampak asli dan beberapa sudah diverifikasi.
Proliferasi dan komoditisasi data pribadi di industri pialang data juga mempersulit identifikasi sumber kebocoran data. Dan meskipun pelanggaran data ini masih belum terselesaikan, hal ini sekali lagi menunjukkan bahwa industri pialang data berada di luar kendali dan menimbulkan masalah privasi yang nyata bagi masyarakat awam.
Kami tidak dapat memecahkan misteri pelanggaran data ini secara pasti, namun cukup untuk menjelaskan secara rinci upaya verifikasi kami. Satu hal yang jelas. Selama pialang data mengumpulkan informasi pribadi, masih ada risiko data tersebut bocor.
