Kebocoran data pribadi menjadi salah satu ancaman serius bagi pengguna internet di era teknologi yang semakin berkembang. Sebab, data yang bocor bisa diakses secara bebas dan rentan disalahgunakan oleh para penjahat siber.
Umumnya data yang bocor atau bisa disusupi hacker antara lain, alamat email, lokasi geografis, nama lengkap, kata sandi, nomor telepon, profil perbankan, dan masih banyak lagi.
Mengutip Tech Crunch, salah satu tantangan terbesar dalam melaporkan kebocoran data adalah memverifikasi bahwa data tersebut asli, dan bukannya seseorang yang mencoba menyatukan data palsu dari berbagai tempat untuk dijual kepada pembeli yang tidak tahu apa-apa.
Memverifikasi kebocoran data membantu perusahaan dan korban untuk mengambil tindakan, terutama dalam kasus-kasus di mana keduanya belum menyadari adanya insiden.
Semakin cepat korban mengetahui tentang kebocoran data, semakin banyak tindakan yang dapat mereka ambil untuk melindungi diri mereka sendiri.
Setiap kebocoran data berbeda dan membutuhkan pendekatan yang unik untuk menentukan keabsahan data. Memverifikasi sebuah kebocoran data sebagai sesuatu yang otentik membutuhkan penggunaan alat dan teknik yang berbeda, serta mencari petunjuk yang dapat membantu mengidentifikasi dari mana data tersebut berasal.
TechCrunch mencontohkan bagaimana mereka memverifikasi kebocoran data pada StocX, sebuah e-commerce yang menjual berbagai sneakers. Saat itu, pada Agustus 2019, para pengguna StockX menerima email massal yang mengatakan bahwa mereka harus mengubah kata sandi mereka karena “pembaruan sistem”.
Namun ternyata, email itu palsu dan beberapa hari kemudian TechCrunch melaporkan bahwa hacker telah meretas dan mencuri jutaan data pelanggan StockX.
Setelahnya, seseorang menghubungi TechCrunch dan mengklaim telah mencuri database yang berisi data 6,8 juta pelanggan StockX.
Orang tersebut mengatakan mereka menjual data yang dicurigai tersebut di sebuah forum kejahatan siber seharga US$300, dan setuju untuk memberikan TechCrunch sampel data, sehingga tim dapat memverifikasi klaim mereka.
Orang tersebut membagikan 1.000 data pengguna StockX yang dicuri dan berisi informasi pribadi pelanggan, seperti nama, alamat email, dan salinan kata sandi yang diacak pelanggan. Selain itu, ada juga lain yang diyakini unik untuk StockX, seperti ukuran sepatu pengguna, perangkat apa yang mereka gunakan, dan mata uang apa yang dipakai oleh pelanggan.
TechCrunch kemudian menghubungi pengguna untuk menanyakannya secara langsung kebenaran data tersebut.
“Karena ini adalah pertama kalinya pelanggan StockX yang kami hubungi mendengar tentang pelanggaran ini, maka komunikasi yang kami lakukan harus jelas, transparan, dan mudah dimengerti, serta tidak memerlukan banyak usaha untuk merespons,” tulis TechCrunch.
Mereka kemudian mengirimkan pesan kepada puluhan orang yang alamat email yang digunakan untuk mendaftarkan akun StockX.
Pesan yang dikirimkan kepada para korban StockX termasuk memperkenalkan diri sebagai reporter TechCrunch, alasan menghubungi mereka (memberitahu informasi kebocoran data)
Dalam pesan yang sama, TechCrunch juga memberikan informasi yang hanya bisa diketahui oleh mereka, seperti nama pengguna dan ukuran sepatu mereka yang terkait dengan alamat email yang sama dengan yang kami kirimkan.
“Kami memilih informasi yang mudah dikonfirmasi, tetapi tidak terlalu sensitif yang dapat mengekspos data pribadi orang tersebut jika dibaca orang lain,” tulis TechCrunch.
“Dengan menulis pesan seperti ini, kami membangun kredibilitas dengan orang yang mungkin tidak tahu siapa kami, atau mungkin mengabaikan pesan kami karena menduga pesan tersebut adalah penipuan,” lanjut mereka.
Tim juga mengirimkan pesan khusus serupa kepada puluhan orang, dan mendengar tanggapan dari sebagian orang yang dihubungi dan tindak lanjuti. Biasanya jumlah sampel yang dipilih sekitar sepuluh atau selusin akun yang dikonfirmasi akan menunjukkan data yang valid dan otentik.
“Setiap orang yang menanggapi kami mengonfirmasi bahwa informasi mereka akurat. TechCrunch mempresentasikan temuan ini kepada StockX, yang mendorong perusahaan tersebut untuk mencoba menjadi yang terdepan dalam cerita ini dengan mengungkapkan kebocoran data besar-besaran dalam sebuah pernyataan di situs webnya,” pungkasnya.
