Telset.id – Seorang peneliti keamanan menemukan lebih dari 985.000 foto identitas (KTP/paspor) pengunjung klub ganja di Spanyol terpajang di internet publik tanpa proteksi apa pun. Data sensitif ini, termasuk alamat rumah, nomor telepon, hingga preferensi konsumsi ganja, dapat diakses siapa saja hanya dengan menebak URL sederhana.
Temuan mengejutkan ini diungkap oleh Sammy Azdoufal, peneliti keamanan yang sebelumnya sukses membobol sistem robot vakum DJI Romo dan jutaan baby monitor. Dalam investigasinya, Azdoufal menemukan bahwa sebuah perusahaan asal Irlandia bernama Cannabis Club Systems (CCS) atau Nefos Solutions, pengembang perangkat lunak untuk klub ganja, menyimpan data anggota di URL publik tanpa password.
“Kami harus melakukan sesuatu secepat mungkin, karena orang akan menemukan ini dan menjualnya kembali. Ini akan menimbulkan kerusakan,” ujar Azdoufal kepada Telset, mengutip laporan dari The Verge. Ia menjelaskan bahwa data tersebut berasal dari sistem verifikasi yang digunakan klub-klub ganja di Spanyol untuk memindai kartu identitas pengunjung setiap kali mereka masuk.
Kerentanan Sistem PuffPal dan CCS
CCS mengembangkan aplikasi bernama PuffPal yang memungkinkan anggota klub masuk cukup dengan memindai kode QR. Namun, saat Azdoufal melakukan reverse engineering pada aplikasi tersebut, ia menemukan celah keamanan parah. Ia menemukan kunci rahasia untuk platform pembayaran Stripe yang tertanam dalam teks biasa di aplikasi. Lebih mengkhawatirkan lagi, ia bisa mengakses profil anggota mana pun hanya dengan mengubah satu angka pada URL.
Foto-foto KTP dan paspor tersebut disimpan di URL publik seperti: https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg. Azdoufal mengungkapkan bahwa klub-klub tersebut mengunggah 5.000 foto identitas baru setiap harinya dengan URL yang tidak aman. Selain itu, portal admin juga dapat diakses melalui internet publik, dan akun klub menggunakan password yang secara teoretis bisa dipecahkan dalam hitungan menit dengan GPU modern.
Data yang terekspos tidak hanya foto identitas. Profil pengguna lengkap, termasuk nomor telepon, alamat rumah, preferensi ganja, dan riwayat konsumsi bulanan, juga bisa diambil dengan mudah. Bahkan pesan obrolan pribadi antara klub dan anggota melalui aplikasi PuffPal juga rentan terhadap serangan.
Dampak dari kebocoran ini sangat luas. Azdoufal memperkirakan ada pengunjung dari seluruh dunia, termasuk 30.000 orang dari Amerika Serikat. “Mereka memiliki orang-orang terkenal. Orang-orang yang tidak ingin semua orang tahu mereka merokok ganja,” kata Azdoufal. Data ini sangat berbahaya jika jatuh ke tangan yang salah, mengingat status legal ganja yang masih kontroversial di banyak negara.
Baca Juga:
Respons Perusahaan dan Tindakan Hukum
Setelah dihubungi oleh jurnalis, Nefos Solutions akhirnya mengambil tindakan. Perusahaan mengklaim akan mematikan seluruh sistem PuffPal dan API yang rentan hingga diperbaiki. Dalam pengujian terbaru pada 10 Juni, gambar paspor dan data pribadi tampaknya sudah diamankan. Nefos juga telah memberi tahu otoritas setempat dan berjanji akan bertanggung jawab atas perbaikan, membayar denda, serta memberi tahu pengguna yang terdampak.
Dalam wawancara telepon, salah satu pendiri Nefos, Andreas Nilsen, mengaku telah berkomunikasi dengan Otoritas Perlindungan Data (DPC) Irlandia mengenai pelanggaran data ini. “Kami harus berkomunikasi dengan semua orang yang berpotensi terekspos,” ujar Nilsen. Ia berharap DPC dapat menunjukkan cara yang tepat untuk melakukan hal tersebut.
Namun, proses pengamanan data ini tidak berjalan mulus. Awalnya, Nefos hanya menambal lubang keamanan tanpa menghentikan operasional. Akibatnya, saat klub mengeluh bahwa gambar identitas tidak muncul seperti biasa, Nefos justru membuka kembali akses ke gambar tersebut. Nilsen mengklaim gambar telah diamankan “70 persen dari waktu” sejak dihubungi, namun keputusan untuk memprioritaskan kenyamanan klub di atas keamanan data pengguna jelas menjadi sorotan.
Bahkan pada 9 Juni, Azdoufal menemukan bahwa meskipun gambar paspor sudah diamankan dengan token, data profil lainnya masih mudah diakses. Semua informasi pribadi seperti nomor paspor, nomor telepon, alamat email, dan alamat rumah bisa diambil dengan perintah sederhana di command line. Celah ini baru ditutup setelah kembali dilaporkan.
Kesalahan Pengembangan PuffPal
Nilsen menyalahkan perusahaan outsourcing bernama 9Series yang mengembangkan aplikasi PuffPal dan menciptakan semua API rentan yang digunakan untuk menarik data dari database pengguna Nefos. “Saya tidak ingin menyalahkan orang lain karena pada akhirnya itu ada pada kami,” kata Nilsen. Namun, ia tetap menuding 9Series sebagai pihak yang bertanggung jawab atas pengembangan aplikasi yang tidak aman tersebut. Hingga berita ini diturunkan, 9Series belum memberikan tanggapan.
Dengan dihentikannya PuffPal, Nefos kini mengirim email ke setiap klub untuk memberi tahu bahwa anggota tidak dapat lagi menggunakan kode QR untuk masuk. Sebagai gantinya, klub masih bisa menarik ID dari server Nefos setelah memindai kartu RFID anggota atau mengetikkan nomor telepon mereka. Nilsen berjanji tidak akan meluncurkan kembali PuffPal yang tidak aman jika klub memintanya. “Kami akan memberi tahu mereka bahwa kami tidak bisa,” tegasnya.
Nilsen mengatakan perusahaannya akan berpisah dengan 9Series dan berharap memiliki aplikasi baru dalam beberapa bulan ke depan. Ia juga sadar bahwa berdasarkan hukum Uni Eropa, perusahaannya secara hukum wajib mengungkapkan pelanggaran dalam waktu 72 jam atau membayar denda besar, sesuatu yang tidak dilakukan perusahaan. “Saya yakin kami akan mendapatkan hukuman apa pun yang ada,” ujar Nilsen.
Insiden ini menjadi pengingat betapa rentannya data pribadi di era digital, terutama ketika perusahaan mengabaikan aspek keamanan demi kenyamanan pengguna. Kasus ini mirip dengan peluncuran iPhone Air yang tertunda karena masalah teknis, atau kisah ekstrem demi mendapatkan gadget. Semoga ini menjadi peringatan bagi semua pihak untuk lebih serius dalam melindungi data pengguna.
Komentar
Belum ada komentar.