Internet Sehat : Awal bulan September 2020 ini Microsoft mengekspos server Elastis sebesar 6,5TB. Data tersebut mencakup istilah pencarian, koordinat lokasi, data ID perangkat, dan sebagian daftar URL yang dikunjungi.
Menurut laporan dari perusahaan keamanan dunia maya WizCase, server dilindungi kata sandi hingga sekitar 10 September saat otentikasi telah dihapus. Penguji kode WizCase Ata Hakcil menemukan kebocoran pada 12 September. Data tersebut tampaknya dihasilkan oleh aplikasi seluler Bing, yang telah diunduh lebih dari 10 juta kali dari Google Play Store. Data tersebut bertambah hingga 200GB per hari dan termasuk penelusuran dari orang-orang di lebih dari 70 negara.
Setelah data dibiarkan tanpa jaminan, beberapa hal terjadi. Perusahaan infosec melaporkan masalah tersebut ke Microsoft pada 13 September dan database tersebut dihapus oleh pusat respons keamanan raksasa Windows pada 16 September.
Hal tersebut menyisakan banyak waktu bagi peretas dan bot untuk menemukan silo data. WizCase mengatakan server mengalami serangan Meow pada dua kesempatan, mengacu pada bot yang menghapus database yang tidak aman dan menggantinya dengan yang baru yang menampilkan berulang kali kata meow. Namun, telemetri baru dari aplikasi Bing terus dikumpulkan di silo. Jika bot Meow menemukan data itu, kemungkinan pihak lain yang berkepentingan juga melakukannya.
Dalam mitigasi, informasi tidak termasuk detail pribadi seperti nama, alamat atau alamat email. Namun, pertanyaan kritisnya adalah apakah cukup data yang dimasukkan untuk melacak individu yang menggunakan mesin pencari.
Tampaknya data bocor Microsoft mungkin juga memiliki implikasi privasi. Tangkapan layar WizCase menunjukkan bahwa catatan tersebut menyertakan bidang yang disebut deviceID, deviceHash, AdID dan clientID, yang semuanya menjanjikan dalam hal menemukan semua pencarian dari pengguna tertentu. Ada juga koordinat yang menunjukkan lokasi dalam 500 meter yang tidak cukup tepat untuk mendapatkan alamat, tetapi membantu seseorang yang mencoba mengidentifikasi penelusur.
Data tersebut juga mengungkap beberapa hal tidak menyenangkan yang dicari orang, termasuk konten ilegal. WizCase menyarankan bahwa jika penjahat berhasil menghapus anonimitas data, beberapa individu mungkin rentan terhadap penipuan pemerasan atau phishing sebagai akibat dari kebocoran data tersebut.
Sumber : The Register
Sumber Foto : Medium
