Setelah bertahun-tahun dihabiskan menemukan dan menyelidiki pelanggaran dataGreg Pollock mengakui bahwa ketika dia menemukan database terbuka lainnya yang penuh dengan kata sandi dan Nomor Jaminan Sosial“Saya melakukannya dengan sedikit kelelahan.” Tapi Pollock, direktur penelitian di perusahaan keamanan siber UpGuard, mengatakan dia dan rekan-rekannya menemukan database online yang terbuka dan dapat diakses publik pada bulan Januari yang tampaknya berisi kumpulan data pribadi sensitif orang Amerika yang begitu besar sehingga rasa lelahnya hilang dan mereka langsung mengambil tindakan untuk memvalidasi temuan tersebut.
Itu Peneliti UpGuard menunjukkan hal ini bahwa tidak semua catatan mewakili informasi yang unik dan valid, namun total mentah yang mereka temukan pada paparan bulan Januari mencakup sekitar 3 miliar alamat email dan kata sandi serta sekitar 2,7 miliar catatan yang menyertakan nomor Jaminan Sosial. Tidak jelas siapa yang membuat database tersebut, namun tampaknya database tersebut berisi rincian pribadi yang mungkin dikumpulkan dari berbagai pelanggaran data bersejarah—termasuk, mungkin, harta karun dari Pelanggaran tahun 2024 terhadap layanan pemeriksaan latar belakang Data Publik Nasional. Broker data dan penjahat dunia maya biasanya menggabungkan dan menggabungkan kembali kumpulan data lama, namun skala dan potensi jumlah nomor Jaminan Sosial—walaupun hanya sebagian kecil dari nomor tersebut yang asli—sangat mengejutkan.
“Setiap minggu, ada temuan lain yang tampak besar di atas kertas, namun mungkin tidak terlalu baru,” kata Pollock. “Jadi saya terkejut ketika saya mulai menggali kasus-kasus spesifik di sini untuk memvalidasi data. Dalam beberapa kasus, identitas dalam pelanggaran data ini berisiko karena mereka telah terekspos, namun belum dieksploitasi.”
Data tersebut dihosting oleh penyedia cloud Jerman Hetzner. Karena Pollock tidak dapat mengidentifikasi pemilik database yang harus dihubungi, dia memberi tahu Hetzner pada 16 Januari. Perusahaan tersebut, sebaliknya, mengatakan telah memberi tahu pelanggannya, yang kemudian menghapus data tersebut pada 21 Januari.
Hetzner tidak memberikan komentar kepada WIRED sebelum dipublikasikan.
Para peneliti tidak mengunduh seluruh kumpulan data untuk dianalisis karena ukuran dan sensitivitasnya. Sebaliknya, mereka bekerja dengan sampel sebanyak 2,8 juta rekaman—hanya sebagian kecil dari total kumpulan data. Dengan menganalisis tren data, termasuk popularitas referensi budaya tertentu dalam kata sandi, mereka menyimpulkan bahwa sebagian besar data kemungkinan berasal dari Amerika Serikat sekitar tahun 2015. Misalnya, kata sandi yang merujuk pada One Direction, Fall Out Boy, dan Taylor Swift sangat umum. Sementara itu, referensi ke Blackpink, Katseye, dan Btsarmy baru saja mulai bermunculan.
Data lama masih berharga karena dua alasan. Pertama, orang sering kali menggunakan kembali alamat email dan kata sandi yang sama, atau variasi kata sandi, di berbagai situs web dan layanan. Artinya, penjahat dunia maya dapat terus mencoba kredensial login yang sama untuk orang yang sama dari waktu ke waktu. Alasan kedua adalah nomor Jaminan Sosial masyarakat sering dikaitkan dengan data mereka yang paling sensitif dan berisiko tinggi, namun hampir tidak pernah berubah sepanjang hidup mereka. Akibatnya, SSN yang valid adalah salah satu permata utama pencurian identitas bagi penyerang.
Dalam sampel data yang ditinjau para peneliti, Pollock mengatakan bahwa satu dari empat nomor Jaminan Sosial tampaknya valid dan sah. Sampelnya terlalu kecil untuk diekstrapolasi ke seluruh kumpulan data, namun seperempat dari seluruh catatan yang berisi SSN akan berjumlah 675 juta. Sebagian kecil dari jumlah tersebut masih mewakili sejumlah angka Jaminan Sosial yang sangat signifikan.
Untuk memverifikasi data tersebut, peneliti UpGuard menghubungi beberapa orang yang datanya muncul dalam bocoran harta karun tersebut. Pollock menekankan bahwa salah satu temuan paling mengkhawatirkan dari pembicaraan dengan individu-individu tersebut adalah bahwa tidak semua identitas mereka dicuri atau diretas. Dengan kata lain, terdapat informasi dalam database yang belum dieksploitasi oleh penjahat dunia maya—dan calon korban belum tentu mengetahui bahwa informasi mereka telah terekspos.
Temuan ini merupakan pengingat, kata Pollock, tentang bagaimana insiden seperti ini terjadi Pelanggaran Kantor Manajemen Personalia AS tahun 2015 atau itu Pelanggaran biro kredit Equifax tahun 2017 menciptakan ketidakpastian yang panjang bagi siapa pun yang datanya dicuri. Demikian pula, dia mencatat hal itu baru-baru ini erosi upaya perlindungan bahwa data terpisah dalam pemerintahan federal AS menimbulkan risiko privasi dan keamanan.
“Saya sama sekali tidak berpikir ini adalah data yang salah ditangani oleh grup DOGE, tapi menurut saya itu adalah contoh lain bagaimana kesalahan dalam cara Anda menangani data dapat berdampak selama beberapa dekade,” katanya. “Ini adalah ranjau darat yang telah dipasang dan kemudian berbahaya selamanya.”
