Apakah tidak ada yang suci? Jawabannya, sepertinya, tidak. Bahkan Hello Kitty pun tidak. Sebuah database berisi rincian 3,3 juta akun dari SanrioTown.com, komunitas online resmi untuk penggemar Sanrio dan Hello Kitty, telah ditemukan secara online.
“Basis data berisi semua yang mungkin diminta oleh pencuri data yang giat.”
Berdasarkan laporannya di Salted Hash, database berisi nama lengkap pengguna, tanggal lahir, jenis kelamin, negara asal, alamat email, pertanyaan petunjuk kata sandi dan jawaban yang sesuai, serta hash kata sandi SHA-1 tawar. Pada dasarnya, semua yang mungkin diminta oleh pencuri data yang giat.
Penemuan itu dibuat oleh peneliti keamanan Chris Vickery. Tapi ini bukan pertama kalinya dia menemukan database terbuka yang menunggu untuk dijarah. Dalam beberapa minggu terakhir, Vickery dan lainnya telah mengungkap sejumlah besar data yang terbuka – ada puluhan ribu database yang berisiko. Satu kasus profil tinggi baru-baru ini diungkapkan oleh Vickery melihat MacKeeper‘s database dari 13 juta pelanggan – semuanya 21 gigabyte – dibiarkan terbuka.
Lihat terkait
Basis data ini memiliki satu kesamaan: semuanya diekspos melalui mesin pencari Shodan, alat yang memungkinkan pengguna mencari jenis komputer tertentu yang terhubung ke internet, seperti server, router, atau bahkan lebih banyak perangkat esoteris seperti sistem pemanas rumah, sistem keamanan, dan lalu lintas lampu.
Pendiri Shodan, John Matherly, baru-baru ini menemukan tidak kurang dari 35.000 database yang dapat diakses publik – semuanya menggunakan perangkat lunak database MongoDB – yang secara kolektif menampilkan 684,8 terabyte data.
Di blognya, Matherly memperjelas bahwa masalah ini tidak unik untuk MongoDB, tetapi sebagian besar disebabkan oleh kesalahan pengguna. Faktanya, versi MongoDB yang lebih baru menutup lubang keamanan potensial secara default, tetapi tampaknya pengguna secara aktif mengubah konfigurasi default menjadi kurang aman.
“Saya sangat menekankan bahwa masalah ini tidak unik untuk MongoDB: Redis, CouchDB, Cassandra Dan Riak sama-sama dipengaruhi oleh kesalahan konfigurasi semacam ini.”
Ups. Nah, tidak mengherankan, ternyata Hello Kitty jauh lebih baik dalam hal kelucuan daripada mengamankan server database.
