Bagaimana saya menemui kebocoran data peribadi dan mendedahkannya secara bertanggungjawab
Kandungan siaran ini:
Apa itu “data peribadi”
Bagaimana saya menemui kebocoran data
Bagaimana penggodam/hacker dapat memanfaatkan kelemahan ini
Bagaimana saya melaporkan kebocoran data
Apa itu “data peribadi”
Secara umumnya, data peribadi ialah sebarang maklumat yang membolehkan seorang individu dikenalpasti secara unik. Di Malaysia, tafsiran data peribadi di bawah Akta 709 merujuk kepada apa-apa maklumat berkenaan dengan transaksi komersial yang membolehkan seorang subjek data dikenal pasti atau boleh dikenal pasti daripada maklumat tersebut. Contoh data peribadi adalah seperti nombor kad pengenalan, nombor telefon bimbit, alamat emel, nombor cukai pendapatan atau nombor akaun bank kerana maklumat-maklumat membolehkan seorang individu dikenalpasti.
Bagaimana saya menemui kebocoran data
Sebenarnya kebocoran data ini saya temui dengan tidak sengaja semasa cuba membuat pembayaran di sebuah laman web milik agensi kerajaan. Saya tidak akan menamakan laman web tersebut di sini kerana tujuan siaran ini adalah untuk berkongsi pengalaman saya mengenal pasti kebocoran data dan bagaimana saya melaporkannya kepada pentadbir sistem.
Saya sedar ada sesuatu yang tidak kena apabila laman tersebut memaparkan nama penuh pengguna lain berserta alamat emelnya semasa saya memasukkan digit pertama nombor kad pengenalan saya. Selain itu, sebahagian daripada nombor telefon pengguna juga turut dipaparkan.
Sebagai seorang penyelidik keselamatan sambilan, penemuan ini menarik perhatian saya. Pada pendapat saya, ralat ini berlaku kerana laman tersebut cuba menggunakan nombor kad pengenalan untuk membuat pengesahan samada pengguna sudah berdaftar atau tidak sebelum pembayaran dibuat. Walau bagaimanapun, laman tersebut hanya memadankan sebahagian (“partial-match”) daripada nombor kad pengenalan dan bukan sepenuhnya (“exact match”). Ini menyebabkan sistem memaparkan maklumat pengguna yang lain sekiranya sebahagian nombor hadapan kad pengenalan mereka sama dengan nombor yang diisi pada laman web.
Oleh kerana 2 digit pertama kad pengenalan Malaysia adalah merujuk kepada tahun kelahiran, maka tidak sukar untuk meneka digit pertama kad pengenalan pengguna yang lain. Saya seterusnya memasukkan angka 7 dan mendapat maklumat individu yang lain.
Saya kemudian mula menganalisa komunikasi dan data antara pelayar web saya dan laman tersebut. Sekiranya anda menggunakan Chrome di komputer riba, anda juga boleh melihat komunikasi data antara pelayar web anda dan laman web yang anda lawati dengan menggunakan Developer Tools (Klik pada 3 titik pada bucu kanan-atas Chrome dan pilih More Tools > Developer Tools).
Melalui panel “Network”, saya dapat melihat keseluruhan nama penuh, nombor telefon dan emel pengguna.
Bagaimana penggodam/hacker dapat memanfaatkan kelemahan ini
Apa yang kita perhatikan setakat ini ialah ralat pada sistem yang menyebabkan maklumat pengguna terdedah secara tidak sengaja dan kita harus meneka sebahagian nombor kad pengenalan pengguna untuk mendapat maklumat ini. Penggodam/hacker boleh melancarkan serangan untuk mencuri maklumat peribadi pengguna dengan menyediakan satu senarai untuk semua kombinasi nombor kad pengenalan yang sah dan mencubanya satu per satu. Sekiranya ada padanan, sistem akan memberikan nama, emel dan nombor telefon pengguna.
Di akhir serangan ini, penggodam/hacker akan memiliki nombor kad pengenalan yang sah berserta maklumat pemilik nombor kad pengenalan tersebut. Teknik ini dikenali sebagai “credential stuffing”, teknik sama yang telah digunakan untuk mencuri 500,000 akaun Zoom pada April tahun ini.
Bagaimana saya melaporkan kebocoran data
Apabila kebocoran data atau kelemahan sistem ditemui, adalah penting untuk melaporkannya dahulu kepada pentadbir sistem sebelum mendedahkannya kepada umum supaya pentadbir sistem mempunyai masa untuk membaiki kelemahan/kebocoran tersebut. Pendedahan secara terbuka hanya akan membesarkan lagi kesan kelemahan atau kebocoran tersebut. Penggodam/hacker boleh mengambil kesempatan dengan maklumat yang didedahkan untuk membuat lebih banyak kerosakan.
Untuk melaporkan penemuan ini, saya cuba mencari maklumat hubungan laman web tersebut melalui pendaftar nama domain (“domain name registrar”). Untuk pengetahuan anda, semua laman web di Internet perlu berdaftar dengan pendaftar nama domain (“domain name registrar”). Oleh kerana laman web ini mempunyai .my di dalam namanya, saya membuat carian WHOIS di MYNIC. MYNIC adalah pentadbir tunggal untuk alamat web yang berakhir dengan .my di Malaysia.
Berdasarkan keputusan carian ini, saya menghantar emel ke bahagian teknikal laman web tersebut untuk mendedahkan penemuan saya. Saya juga menyediakan dokumen yang ringkas mengandungi penemuan saya di atas. Alhamdulillah, saya mendapat maklum balas daripada pihak teknikal laman web tersebut di dalam masa seminggu dan kebocoran tersebut telah dibaiki.
Assalamualaikum tuan,
Baru2 ni seseorang telah guna emel saya untuk daftar di satu laman web. Saya ada terima emel untuk pengesahan pendaftaran, tetapi saya tak buka emel tersebut kerana bimbang dan ragu.
Individu berkenaan daftar guna nama yang lain, cuma guna emel saya.
Laman web tu memang saya tak pernah tahu sebelum ni.
Mohon pandangan tuan apa tindakan terbaik perlu saya lakukan dalam isu ini.
Terima kasih.
waalaikumussalam,
Jika individu tersebut seseorang yang anda percayai, sahkan emel tersebut dengan beliau. Jika tidak, delete emel tersebut. Elakkan memberi maklumat peribadi dan kata laluan kepada laman web yang tidak dikenali/dipercayai.