cpu-data.info

- Taobao, salah satu marketplace (lokapasar) terbesar dunia yang dimiliki perusahaan asal China, Alibaba Group, diduga mengalami peretasan yang menyebabkan belasan data penggunanya bocor.

Insiden ini terungkap berdasarkan laporan dari tim peneliti keamanan di Cybernews yang diterbitkan pada Senin (27/5/2024).

Cybernews menemukan ada 11,1 juta data sensitif pengguna Taobao yang dihimpun dalam sebuah kluster data bernama "Taobao" di Elasticsearch. Namun, para penetiti tidak bisa memverifikasi data itu apakah asli atau tidak, secara independen.

Elasticsearch merupakan software open-source yang digunakan untuk menyimpan, mencari, dan menganalisis data dalam skala besar.

Baca juga: Alibaba Gunakan Cloud dan AI untuk Tekan Dampak Lingkungan Kegiatan Olahraga

Elasticsearch ibarat gabungan mesin pencari sekaligus database. Jadi, di dalamnya ada tumpukan data berskala besar, seperti dokumen teks, log dari aplikasi, dan lainnya.

Nah, di Elasticsearch pengguna bisa mencari dan menemukan informasi terkait data yang dibutuhkan.

Namun, berbeda dengan mesin pencarian seperti Google, di Elasticsearch pengguna bisa melakukan pencarian sekaligus menganalisis data.

Kembali ke insiden kebocoran data, dari belasan juta data yang diduga bocor, per satu data diyakini mewakili satu pengguna Taobao.

Adapun data dari Statista menyebut jumlah pengguna aktif bulanan (monthly active user) Taobao per Februari 2024 mencapai lebih dari 600 juta pengguna.

Data yang bocor mencakup nama, nomor telepon dan alamat rumah pengguna, sehingga mengancam pengguna menjadi korban phising atau penipuan online lainnya.

Apalagi data itu tidak dilindungi dan bisa diakses bebas oleh publik. Saat ini, akses ke data tersebut sudah ditutup.

Menurut temuan Cybernews, data itu berasal dari situs Taobao dan diambil secara ilegal oleh peretas (hacker). Namun hacker dalam kasus ini belum teridentifikasi.

"Asal usul data menunjukkan bahwa data itu kemungkinan diperoleh dari server Taobao secara ilegal, mungkin dengan crawling web (mengumpulkan data secara otomatis dari web dengan membangun indeks data) atau cara ilegal lainnya," ujar tim peneliti Cybernews.

Tanggapan Taobao

Taobao menanggapi laporan insiden ini. Lokapasar milik Alibaba ini menyatakan bahwa pihaknya tidak menemukan adanya kebocoran data.

"Privasi dan keamanan data adalah hal terpenting bagi Taobao. Berdasarkan analisi kami terhadap sampel data dari Cybernews, tidak ada kebocoran data yang teridentifikasi di platform kami," demikian keterangan Taobao dikutip KompasTekno dari situs Cybernews, Selasa (11/6/2024).

Insiden ini sendiri merupakan kedua kalinya bagi Taobao. Sebab, pada tahun 2020, 1,1 miliar data pengguna Taobao juga dilaporkan bocor setelah konsultan pemasaran mendapatkan data itu secara ilegal lewat teknik scraping.

Baca juga: Enkripsi Data Jadi Faktor Utama Perangi Kebocoran Data

Teknik ini memungkinkan seseorang mengekstrak data dari sebuah web atau sistem tertentu, salah satunya lewat API (Application Programming Interface).

Untuk itu, Cybernews menyarankan perusahaan yang bersinggungan dengan data berskala besar, menerapkan mekanisme autentikasi dan otorisasi, serta mengonfigurasi firewall agar hanya mengizinkan trafik dari sumber terpercaya dalam mengakses kluster Elasticsearch.