Ribuan petugas penegak hukum dan orang yang sedang mencoba menjadi polisi di India telah memiliki informasi pribadi mereka bocor secara online—termasuk sidik jari, gambar pemindaian wajah, tanda tangan, dan detail tato dan bekas luka di tubuh mereka. Jika itu tidak cukup mengkhawatirkan, pada saat yang sama, para penjahat dunia maya telah mulai mengiklankan penjualan data biometrik polisi serupa dari India di aplikasi pesan Telegram.
Bulan lalu, peneliti keamanan Jeremiah Fowler menemukan file-file sensitif tersebut di server web yang terbuka yang terhubung ke ThoughtGreen Technologies, sebuah perusahaan pengembangan dan outsourcing TI dengan kantor di India, Australia, dan AS. Dalam total hampir 500 gigabyte data yang mencakup 1,6 juta dokumen, berasal dari tahun 2021 hingga saat Fowler menemukannya pada awal April, terdapat sejumlah informasi pribadi sensitif tentang guru, pekerja kereta api, dan petugas penegak hukum. Akte kelahiran, diploma, sertifikat pendidikan, dan formulir aplikasi pekerjaan semuanya termasuk.
Fowler, yang membagikan penemuan-penemuannya secara eksklusif dengan WIRED, mengatakan bahwa di antara tumpukan informasi tersebut, yang paling mengkhawatirkan adalah dokumen-dokumen verifikasi yang terkait dengan petugas penegak hukum atau personel militer India. Meskipun server yang salah konfigurasi telah ditutup, kejadian ini menyoroti risiko perusahaan mengumpulkan dan menyimpan data biometrik, seperti sidik jari dan gambar wajah, dan bagaimana data tersebut dapat disalahgunakan jika data tersebut bocor secara tidak sengaja.
“Anda dapat mengubah nama Anda, Anda dapat mengubah informasi bank Anda, tetapi Anda tidak dapat mengubah biometrik Anda yang sebenarnya,” kata Fowler. Peneliti yang juga mempublikasikan temuannya atas nama Website Planet, mengatakan bahwa jenis data ini bisa digunakan oleh penjahat dunia maya atau penipu untuk menargetkan orang di masa depan, risiko yang meningkat untuk posisi penegak hukum yang sensitif.
Dalam database yang diperiksa oleh Fowler terdapat beberapa aplikasi seluler dan file instalasi. Salah satunya berjudul “instalasi perangkat lunak wajah,” dan sebuah folder terpisah berisi 8 GB data wajah. Foto wajah orang-orang termasuk persegi panjang yang dihasilkan komputer yang sering digunakan untuk mengukur jarak antara titik-titik wajah dalam sistem pengenalan wajah.
Ada 284.535 dokumen yang diberi label Tes Efisiensi Fisik yang terkait dengan staf kepolisian, kata Fowler. File-file lain termasuk formulir aplikasi pekerjaan untuk petugas penegak hukum, foto profil, dan dokumen identifikasi dengan detail seperti “tahi lalat di hidung” dan “luka di dagu.” Setidaknya satu gambar menunjukkan seseorang yang memegang dokumen dengan foto mereka yang sesuai di dalamnya. “Hal pertama yang saya lihat adalah ribuan sidik jari,” kata Fowler.
Prateek Waghre, direktur eksekutif organisasi hak digital India Internet Freedom Foundation, mengatakan bahwa ada koleksi data biometrik yang “luas” terjadi di seluruh India, tetapi ada risiko keamanan tambahan bagi orang-orang yang terlibat dalam penegakan hukum. “Banyak kali, verifikasi yang digunakan pegawai pemerintah atau petugas juga bergantung pada sistem biometrik,” kata Waghre. “Jika Anda memiliki potensi untuk dicompromi, Anda berada dalam posisi di mana seseorang dapat menyalahgunakan dan kemudian mendapatkan akses ke informasi yang seharusnya tidak mereka dapatkan.”
Tampaknya beberapa informasi biometrik tentang petugas penegak hukum mungkin sudah dibagikan secara online. Fowler mengatakan setelah database yang terbuka ditutup, ia juga menemukan saluran Telegram, yang berisi beberapa ratus anggota, yang mengklaim menjual data polisi India, termasuk individu tertentu. “Struktur, tangkapan layar, dan beberapa nama folder cocok dengan apa yang saya lihat,” kata Fowler, yang karena alasan etis tidak membeli data yang dijual oleh penjahat sehingga tidak dapat sepenuhnya memverifikasinya apakah itu data yang sama.