Sejak bulan April, seorang peretas dengan riwayat penjualan data curian telah mengklaim pelanggaran data miliaran catatan - mempengaruhi setidaknya 300 juta orang - dari seorang pialang data AS, yang akan membuatnya menjadi salah satu pelanggaran data yang didakwa terbesar tahun ini.
Data tersebut, yang dilihat oleh TechCrunch, terlihat sebagian sah - meskipun tidak sempurna. Data curian, yang diiklankan di forum kejahatan cyber yang dikenal, diperkirakan berasal dari tahun-tahun sebelumnya dan termasuk nama lengkap warga AS, riwayat alamat rumah mereka dan nomor jaminan sosial - data yang banyak tersedia untuk dijual oleh para pialang data.
Namun, memastikan sumber pencurian data yang didakwa telah terbukti tidak meyakinkan; begitulah sifat industri pialang data, yang menyedot data pribadi individu dari sumber yang berbeda dengan sedikit atau tanpa kontrol kualitas.
Pialang data yang didakwa dalam pertanyaan, menurut peretas, adalah National Public Data, yang mengklaim diri sebagai “salah satu penyedia data publik terbesar di Internet.”
Di situs web resminya, National Public Data mengklaim menjual akses ke beberapa basis data: satu "Penemuan Orang" di mana pelanggan dapat mencari berdasarkan nomor jaminan sosial, nama dan tanggal lahir, alamat atau nomor telepon; basis data data konsumen AS "mencakup lebih dari 250 juta individu;" basis data yang berisi data pendaftaran pemilih yang berisi informasi tentang 100 juta warga AS; satu data catatan kriminal; dan beberapa lainnya.
Grup penelitian malware vx-underground mengatakan di X (dahulu Twitter) bahwa mereka telah meninjau seluruh basis data curian dan dapat “mengonfirmasi data yang ada di dalamnya nyata dan akurat.”
“Kami mencari beberapa individu yang memberikan izin untuk mencari informasi mereka,” tulis grup tersebut, menambahkan bahwa mereka dapat menemukan informasi orang-orang itu, termasuk nama, riwayat alamat yang mencakup lebih dari tiga dekade dan nomor jaminan sosial.
“Ini juga memungkinkan kami menemukan orang tua, dan saudara kandung terdekat. Kami dapat mengidentifikasi orang tua seseorang, kerabat yang meninggal, Paman, Bibi, dan Sepupu,” tulis vx-underground.
TechCrunch melakukan upaya serupa untuk memverifikasi otentisitas data, dengan hasil yang bercampur.
Untuk review kami atas sampel lima juta catatan, kami menemukan banyak nama dan alamat yang sesuai dengan catatan publik yang sesuai, tetapi juga beberapa data yang tidak selalu masuk akal - seperti alamat email dengan nama yang berbeda yang tidak memiliki keterkaitan dengan sisa data individu yang terkait. Beberapa catatan berisi informasi yang diduga tentang individu terkenal, termasuk data pribadi mantan presiden AS.
TechCrunch memberikan USDoD, peretas yang menjual data, dengan nama delapan orang yang memberikan izin mereka, dalam upaya untuk memverifikasi bahwa peretas sebenarnya memiliki data yang sah. Peretas tidak mengembalikan data untuk kedelapan orang itu.
TechCrunch juga mencari seratus orang yang nomor dan email mereka ada di sampel. Hanya satu orang yang menjawab, dan mengkonfirmasi bahwa sebagian dari data curian yang diakuinya akurat, tetapi tidak semuanya.
Meskipun beberapa upaya telah dilakukan untuk menghubungi perusahaan, National Public Data tidak menjawab, begitu juga pendirinya dan CEO Salvatore Verini. Setelah TechCrunch pertama kali menghubungi National Public Data minggu lalu, perusahaan tersebut menutup halaman situs webnya yang mencakup detail tentang basis data yang dijual aksesnya.
Tidak semua pelanggaran data yang diklaim oleh peretas, terutama yang diiklankan di forum peretasan, ternyata nyata. Itulah mengapa TechCrunch dan reporter keamanan siber lainnya sering menghabiskan waktu yang cukup untuk mencoba memverifikasi pelanggaran data, upaya yang kadang-kadang berakhir dengan hasil yang tidak meyakinkan.
Tetapi pelanggaran data yang didakwa oleh pialang data tampaknya menjadi perkecualian, sebagian karena sebagian data tampaknya asli dan telah diverifikasi sebelumnya.
Proliferasi dan komoditisasi data pribadi di seluruh industri pialang data juga membuat lebih sulit untuk mengidentifikasi sumber kebocoran data. Dan meskipun pelanggaran data khusus ini tetap tidak terpecahkan, itu sekali lagi menunjukkan bahwa industri pialang data memang sulit dikendalikan dan menimbulkan masalah privasi nyata bagi masyarakat biasa.
Kami tidak dapat secara pasti memecahkan misteri pelanggaran data ini, tetapi ada cukup informasi disana untuk mendetailkan upaya verifikasi kami. Satu hal yang jelas. Selama pialang data mengumpulkan informasi pribadi, akan selalu ada risiko data tersebut bocor.