Internet Sehat : The Telegraph salah satu surat kabar dan outlet media online terbesar di Inggris, telah membocorkan 10 TB data penggunanya setelah gagal mengamankan salah satu databasenya dengan benar. Informasi yang diekspos termasuk log internal, nama lengkap pelanggan, alamat email, info perangkat, permintaan URL, alamat IP, token otentikasi, dan pengidentifikasi pembaca unik.
Bob Diachenko, peneliti yang menemukan kumpulan data yang tidak dilindungi pada 14 September 2021, telah mengkonfirmasi bahwa setidaknya 1.200 kontak tidak terenkripsi dapat diakses tanpa kata sandi pada saat peninjauannya. Khususnya, banyak dari kasus ini menyangkut informasi pendaftar pelanggan Apple News, juga termasuk kata sandi dalam bentuk teks biasa.
Surat kabar itu segera dihubungi dan diperingatkan tentang paparan tersebut, tetapi mereka membutuhkan waktu dua hari untuk akhirnya merespons dan mengamankan database.
Data tersebut diindeks pada mesin pencari khusus pada 1 September 2021 sehingga periode pemaparan setidaknya tiga minggu. Dengan waktu tersebut cukup banyak waktu bagi penyerang dan pemindai otomatis untuk menemukan basis data yang terbuka dan mengekstraksi data yang ada.
Bagi pelanggan yang mungkin terekspos akibat kebocoran data ini, risiko utama yang dihadapi adalah kemungkinan ditipu atau phishing melalui email. Kebocoran permintaan URL juga dapat menyebabkan risiko privasi karena seseorang dapat menggunakannya untuk membuat riwayat penelusuran pengguna di platform berita.
Adapun konsekuensi untuk The Telegraph, token akses yang dicuri dapat digunakan oleh non-pelanggan untuk mengakses konten yang terkunci di balik paywall-nya, tetapi mereka dapat menyelesaikannya dengan reset.
Menanggapi hal di atas, The Telegraph mengeluarkan pernyataan bahwa mereka mengetahui penemuan ini pada 16 September dan segera mengambil tindakan untuk mengamankan data. Penyelidikan menunjukkan bahwa hanya sejumlah kecil catatan yang terungkap, yaitu kurang dari 0,1% pengguna dan Telegraph telah menghubungi semua pengguna untuk memberi tahu mereka. Penyelidikan juga menyimpulkan bahwa sementara data diekspos, data tidak dilanggar selain penemuan yang diposting oleh peneliti. The Telegraph berterima kasih atas kerja para peneliti independen yang secara bertanggung jawab mengungkapkan kerentanan dan eksposur dan yang sangat penting dalam pekerjaan yang berkelanjutan untuk melindungi aset.
Menurut pernyataan ini, jumlah individu yang terkena dampak adalah 600, lebih sedikit dari apa yang dilihat Daichenko. The Telegraph juga menyatakan bahwa tidak satupun dari mereka menjalankan risiko eksploitasi karena Diachenko adalah orang pertama dan terakhir yang mengakses dataset sensitif.
Sumber : Bleeping Computer
