Jutaan data pribadi milik warga Amerika Serikat termasuk nama, alamat email, kata sandi, nomor telepon, dan lainnya telah bocor.
Database yang bocor tersebut merupakan milik TrueDialog, perusahaan yang melayani berbagai fitur terkait SMS, termasuk SMS blast. Demikian seperti dikutip dari Gearbrain, Selasa
Berbasis di Austin, Texas, TrueDialog bekerja sama dengan lebih dari sembilan ratus operator telepon seluler, yang mana menggunakan layanannya untuk terhubung ke lebih dari lima miliar orang di seluruh dunia.
Layanan yang ditawarkan oleh TrueDialog, salah satunya memungkinkan perusahaan untuk mengirim pesan teks secara massal kepada pelanggan.
Selain pemasaran, layanan TrueDialog digunakan oleh sistem peringatan darurat dan solusi SMS pendidikan.
Server TrueDialog yang bocor, berisi jutaan pesan tidak terenkripsi dan tidak dilindungi oleh kata sandi, ditemukan oleh perusahaan cybersecurity vpnMentor.
Bahayanya, siapa pun dapat melihat pesan teks yang ada di server tersebut, kemudian menggunakan informasi pribadi untuk melakukan phishing atau menjual data ke pihak lain.
Selain pesan teks atau SMS, para peneliti vpnMentor juga menemukan jutaan nama pengguna serta kata sandi akun milik klien TrueDialog dan pelanggan mereka.
vpnMentor melaporkan database tersebut ditemukan pada 26 November. Dua hari kemudian, para peneliti menghubungi TrueDialog tentang masalah tersebut.
Meskipun tidak mendapat jawaban dari TrueDialog, server telah diamankan beberapa hari kemudian, tepatnya pada akhir November.
TrueDialog sendiri belum berbicara secara terbuka tentang kebocoran server. Sebagai informasi, kebocoran server yang ditemukan adalah bagian dari proyek pemetaan web besar-besaran yang dilakukan oleh vpnMentor.
Sistem memindai server secara online dan menguji port akses yang dapat menyebabkan kerentanan. Ketika kelemahan ditemukan, perusahaan bekerja untuk mengidentifikasi identitas basis data, lalu memberi tahu pemiliknya.
Dalam kasus ini, server TrueDialog benar-benar tidak aman dan tak dienkripsi.
Sebelumnya, OnePlus juga mengakui sistem keamanannya telah ditembus oleh pihak tak berizin. Hal ini diungkapkan salah satu staf keamanan OnePlus bernama Ziv C di laman forum OnePlus belum lama ini.
“Kami ingin memberi tahu ke Anda, kami menemukan bahwa sejumlah informasi pengguna diakses oleh pihak yang tidak memiliki izin,” kata Ziv, dikutip OnePlus
Ziv mengonfirmasi, seluruh informasi pembayaran, kata sandi, serta akun pengguna aman. Namun, ada data lainnya yang mungkin telah terekspos.
“Ada nama, nomor telepon, alamat email, dan alamat pengiriman dari pengguna tertentu yang mungkin telah terekspos,” kata Ziv.
Ia pun menyebutkan, pengguna yang terdampak, kemungkinan telah menerima email yang memuat spam dan phishing sebagai akibat dari insiden ini.
“Kami mengambil langkah yang cepat untuk menghentikan adanya penyusup dan pembobol keamanan,” kata Ziv.
Ia melanjutkan, sebelum mengumumkan kepada publik, OnePlus sudah lebih dahulu menginformasikan kasus bocornya keamanan mereka ke pengguna melalui email.
“Kini kami bekerja sama dengan otoritas terkait untuk menginvestigasi masalah ini,” tulis dia.
Tak lupa, mewakili OnePlus, Ziv juga meminta maaf dan berkomitmen untuk memastikan insiden serupa tidak terjadi di masa yang akan datang.