Jutaan Data Pelanggan 21Buttons Terekspos Akibat Tak Mengikuti Protokol Keamanan AWS S3 Bucket


21 La Plataforma APP SL Buttons, salah satu perusahaan yang menggabungkan antara belanja online dengan media sosial. 21 Buttons menjadi jaringan fashion raksasa terbesar di Eropa dengan perkiraan 2 juta pengguna aktif bulanan pada tahun 2018. Ditahun yang sama, perusahaan itu mendapatkan kucuran dana dari investor swasta senilai $17 juta dollar untuk ekspansi ke Amerika Serikat. Sejak awal diluncurkan, 21 Buttons telah berhasil mengumpulkan $30 juta dollar.

Kebocoran data yang terekspos ini disampaikan oleh peneliti keamanan, Noam Rotem yang bekerja dengan vpnMentor (23/12). Noam menjelaskan bahwa kejadian tersebut terlihat pertama kali pada kesalahan konfigurasi yang tidak aman dari AWS S3 Bucket, di dalamnya berisikan data pribadi dan manajemen keuangan milik perusahaan 21 Buttons. Noam juga mengatakan bahwa 21 Buttons menyimpan data tersebut di AWS S3 Bucket yang sama sekali tidak menggunakan protokol enkripsi keamanan dari AWS.

Data yang ditemukan juga termasuk para influencer terkenal di Eropa, diantaranya seperti Carlota Weber Mazeucos, Freddy Cousin Brown, Marion Caravano, Irsa Saleem dan Danielle Metz.

Data bocor yang berhasil ditemukan termasuk data pribadi secara utuh dan informasi keuangan milik pengguna termasuk influencer terkenal tersebut. Faktur pembayaran juga terlihat mengungkapkan informasi sensitif, seperti nama lengkap, negara tempat tinggal, kode pos, alamat email paypal, detil bank hingga nomor ID nasional layaknya sebuah no.ktp.

21-Buttons-invoice-payment
Photo: Faktur pembayaran (21 Buttons)

Dampak Kebocoran Data 21 Buttons

Jika ini berhasil diexploitasi oleh penyerang yang mencoba mengakses dan melihat secara utuh berkas faktur pembayaran dari pelanggan di AWS S3 Bucket, bisa kemungkinan penjahat dunia maya itu memanfaatkan data pribadi pelanggan untuk tujuan ilegal.

Apalagi data yang bocor juga mencakup nama lengkap dan alamat email yang valid, kemungkinan yang akan terjadi penyerang akan mencoba melakukan trik menyebarkan phising dan malware dengan bantuan teknik social engineering. Terlebih lagi banyak informasi sensitif yang juga ditemukan ini akan mengakibatkan penjahat dunia maya melakukan doxing terhadap salah satu pelanggan 21 Buttons.

Timeline of Discovery and Owner Reaction
  • Date discovered: 2nd Nov. 2020
  • Dates vendors contacted: 5th Nov., 12th Nov., 8th Dec. 2020
  • Dates Amazon Contacted: 10th Nov., 8th Dec. 2020
  • Date of Response: 22nd Dec. 2020