Kemungkinan data tereskpos secara tidak sengaja dalam konfigurasi yang salah atau tidak diamankan basis data telah lama menjadi mimpi buruk privasi yang sulit diatasi sepenuhnya. Namun, penemuan baru terkumpulnya 184 juta rekaman—termasuk kredensial login Apple, Facebook, dan Google serta akun terkait berbagai pemerintahan—menegaskan risiko mengumpulkan informasi sensitif secara sembarangan dalam repositori yang bisa menjadi titik kegagalan tunggal.
Awal Mei lalu, peneliti keamanan Jeremiah Fowler menemukan basis data Elastic yang terbuka berisi 184.162.718 rekaman dalam lebih dari 47 GB data. Biasanya, Fowler bisa menelusuri pemilik basis data dari isinya—detail organisasi, data pelanggan, atau petunjuk tujuan pengumpulan data. Namun, basis data ini sama sekali tidak menyertakan petunjuk kepemilikan atau asal datanya.
Rentang dan skala besar detail login—yang mencakup akun dari berbagai layanan digital—menunjukkan bahwa data ini merupakan semacam kompilasi, mungkin dimiliki peneliti pelanggaran data atau aktivitas kriminal siber, atau langsung dikendalikan penyerang yang mencurinya melalui infostealer malware.
“Ini salah satu yang paling aneh yang pernah kutemukan dalam bertahun-tahun,” kata Fowler. “Dilihat dari risiko, ini jauh lebih serius karena memberikan akses langsung ke akun individu. Ini daftar impian para kriminal siber.”
Setiap rekaman berisi ID tipe akun, URL layanan, serta nama pengguna dan kata sandi teks biasa. Fowler mencatat bahwa kolom kata sandi diberi label “Senha”—kata Portugis untuk sandi.
Dalam sampel 10.000 rekaman, terdapat 479 akun Facebook, 475 Google, 240 Instagram, 227 Roblox, 209 Discord, dan lebih dari 100 akun Microsoft, Netflix, serta PayPal. Sampel kecil ini juga mencakup login Amazon, Apple, Nintendo, Snapchat, Spotify, Twitter, WordPress, dan Yahoo. Pencarian kata kunci menemukan 187 kata “bank” dan 57 “wallet.”
Fowler—yang tidak mengunduh data—mengontak beberapa alamat email yang terbuka dan mengonfirmasi bahwa itu akun asli.
Selain perorangan, data ini juga berisiko keamanan nasional. Dalam sampel, terdapat 220 alamat email domain .gov dari 29 negara, termasuk AS, Australia, Kanada, China, India, Israel, Selandia Baru, Arab Saudi, dan Inggris.
Meski Fowler tidak tahu pemilik basis data atau asal datanya, ia melaporkan kebocoran ke World Host Group. Akses ke basis data segera ditutup, meski perusahaan baru merespons setelah dihubungi WIRED.