Sebuah toko kartu hadiah online di AS telah mengamankan server penyimpanan online yang secara publik mengekspos ratusan ribu dokumen identitas pelanggan yang dikeluarkan pemerintah ke internet.
Seorang peneliti keamanan, yang menggunakan nama online JayeLTeemenemukan server penyimpanan yang terekspos secara publik akhir tahun lalu yang berisi SIM, paspor, dan dokumen identitas lainnya milik MyGiftCardSupply, sebuah perusahaan yang menjual kartu hadiah digital untuk ditukarkan pelanggan di merek populer dan layanan online.
Situs web MyGiftCardSupply menyatakan bahwa pelanggan harus mengunggah salinan dokumen identitas mereka sebagai bagian dari upaya kepatuhan terhadap peraturan anti pencucian uang AS, yang sering dikenal sebagai cek “kenali pelanggan Anda”, atau KYC.
Namun server penyimpanan yang berisi file tersebut tidak memiliki kata sandi, sehingga siapa pun di internet dapat mengakses data yang tersimpan di dalamnya.
JayeLTee memberi tahu TechCrunch tentang paparan tersebut minggu lalu setelah MyGiftCardSupply tidak menanggapi email peneliti tentang data yang terpapar.
Ketika dihubungi oleh TechCrunch, pendiri MyGiftCardSupply Sam Gastro mengkonfirmasi kelemahan keamanan tersebut. “File-file tersebut sekarang aman, dan kami sedang melakukan audit penuh terhadap prosedur verifikasi KYC,” kata Gastro. “Ke depannya, kami akan segera menghapus file tersebut setelah melakukan verifikasi identitas.”
Gastro tidak akan mengatakan berapa lama data tersebut terekspos ke internet, dan perusahaan juga tidak akan berkomitmen untuk memberi tahu individu yang terkena dampak yang informasinya dibiarkan terbuka untuk umum. Gastro juga tidak menjelaskan mengapa MyGiftCardSupply tidak membalas email peneliti atau memperbaiki kelemahan keamanan pada saat itu.
Menurut JayeLTee, data yang terekspos – yang dihosting di cloud Microsoft Azure – berisi lebih dari 600.000 gambar depan dan belakang dokumen identitas serta foto selfie sekitar 200.000 pelanggan. Bukan hal yang aneh bagi perusahaan yang tunduk pada pemeriksaan KYC untuk meminta pelanggannya mengambil foto selfie sambil memegang salinan dokumen identitas mereka untuk memverifikasi bahwa pelanggan tersebut memang benar seperti yang mereka katakan, dan untuk mencegah pemalsuan.
Dokumen terbaru yang diunggah ke server bertanggal 31 Desember 2024, sehari sebelum MyGiftCardSupply mengamankan server yang terbuka. Ribuan pelanggan mengunggah dokumen identitas mereka pada minggu-minggu sebelumnya, menunjukkan bahwa server penyimpanan digunakan secara aktif.
Ini adalah yang terbaru dari daftar panjang insiden dan pelanggaran data dalam beberapa tahun terakhir yang melibatkan dokumen identitas untuk pemeriksaan KYC, yang tetap menjadi salah satu teknik yang paling diandalkan untuk memverifikasi identitas pelanggan.
April lalu, seorang peretas mengaku telah mencuri database penyaringan besar-besaran yang disebut World-Check, database yang digunakan oleh perusahaan untuk menentukan apakah pelanggan berisiko tinggi atau terlibat dalam potensi kriminalitas. Salinan data yang bocor menunjukkan database berisi nama, tanggal lahir, nomor paspor dan Jaminan Sosial, serta nomor rekening bank.
JayeLTee dilaporkan secara terpisah pada hari Kamis menemukan cache lain dari dokumen KYC yang terekspos, termasuk sekitar 320.000 paspor dan SIM, dari situs pencarian teman sekamar Roomster. Dalam sebuah postingan blog, JayeLTee mengatakan tidak jelas berapa banyak orang yang terkena dampak kelemahan keamanan di Roomster.
CEO John Shriber tidak membalas email TechCrunch yang meminta komentar. Dalam sebuah pernyataan yang diberikan oleh penasihat umum Roomster, Charles Brofman setelah dipublikasikan, perusahaan tersebut mengatakan “tidak ada alasan untuk percaya bahwa ada orang yang meretas folder tersebut atau bahwa ada orang yang telah mengakses data dan menggunakannya dengan cara yang jahat.”
Pengurus kamar tadi pada tahun 2023 diperintahkan untuk membayar $1,6 juta menyusul keluhan Komisi Perdagangan Federal karena diduga menipu jutaan penggunanya dengan memposting daftar yang tidak terverifikasi dan ulasan palsu.
Diperbarui dengan pernyataan dari Roomster.
