Kebocoran Comelec – apa yang salah?
Siapa pun yang mengetahui nama lengkap, tanggal lahir, dan alamat Anda dapat mulai memalsukan identitas Anda dengan membuka akun email baru dan akun media sosial seperti Facebook, Twitter, atau Instagram
BACA: BAGIAN 1: Kebocoran Comelec – Yang Saya Temukan
Comelec mengatakan bahwa informasi dalam database yang bocor adalah pengetahuan umum. Ini memang publik, tetapi pengguna situs sebenarnya hanya dapat mencari catatan mereka sendiri, atau paling banyak orang yang sudah mereka kenal.
Apa yang dimungkinkan oleh pelanggaran tersebut adalah pencarian yang lebih luas dan pemrosesan data informasi dari semua pemilih – dan dalam kelompok besar – bukan hanya satu per satu. Itu juga memungkinkan untuk menyimpulkan hubungan antara catatan yang berbeda.
Misalnya, hubungan tetangga dapat diturunkan dari mereka yang ditugaskan ke area yang sama. Hubungan saudara dapat diberi probabilitas tinggi ketika orang memiliki nama keluarga dan nama gadis yang sama. Terakhir, ini memungkinkan pencocokan yang lebih mudah dengan sumber data eksternal – baik dilakukan secara manual atau otomatis.
Siapa pun yang mengetahui nama lengkap, tanggal lahir, dan alamat Anda dapat mulai memalsukan identitas Anda dengan membuka akun email baru (mis. Google Mail) dan akun media sosial seperti Facebook, Twitter, atau Instagram.
Spoofing menjadi lebih menipu jika akun tersebut dapat menunjukkan teman atau kontak nyata (baik teman atau tetangga). Data yang bocor tidak mengandung informasi hubungan, kecuali mungkin orang dengan nama belakang yang sama yang ditempatkan di wilayah yang sama.
Setelah informasi hubungan yang lebih kaya dapat disimpulkan dari balasan email atau menerima permintaan pertemanan, hal-hal dapat lepas kendali. (BACA: Apakah Comelec bertanggung jawab atas kebocoran data situs web?)
Bergantung pada kekayaan data yang dikumpulkan setelah kebocoran, elemen kriminal mungkin dapat menebak kata sandi atau, jika tidak memungkinkan, melacak kata sandi dan PIN yang hilang menggunakan pertanyaan keamanan biasa seperti “siapa nama gadis ibumu”, “apa ulang tahunmu ”, “atau apa kampung halamanmu” dan juga yang rumit seperti nama hewan peliharaan.
Anda dapat menerima permintaan pertemanan terutama setelah Anda melihat bahwa orang tersebut benar-benar teman Anda dan Anda juga melihat teman yang sama ditunjukkan dengan permintaan tersebut. Anda menyapa teman baru Anda dan memanggilnya dengan nama panggilan (data penting lainnya). Setelah menerima permintaan, Anda mungkin membagikan informasi sensitif yang hanya dapat dilihat oleh teman Anda.
Anda juga dapat secara membabi buta menerima permintaan teman baru Anda untuk bergabung dengan grup Facebook pribadi tempat Anda juga menjadi bagiannya, berpikir bahwa hal itu aman untuk dilakukan.
Teman palsu memposting pesan yang mengatakan bahwa dia mencoba merekonstruksi buku alamatnya karena kehilangan ponsel, jadi Anda menawarkan untuk memberikan nomor ponsel dan email Anda.
Untuk teman sejati Anda yang identitasnya baru saja dipalsukan, keadaan bisa menjadi sangat berantakan karena penipu mungkin sudah melakukan hal-hal seperti mengumpulkan uang dan membuat komitmen.
Kemajuan dari penipuan hingga pencurian identitas penuh, yaitu membuka rekening bank, mengajukan paket seluler pascabayar atau rekening kartu kredit, dan mengajukan pinjaman bank, Sistem Jaminan Sosial (SSS) atau HDMF, data penting lainnya tidak ada di kebocoran data akan diperlukan.
Di antaranya adalah ID pemerintah seperti SSS, SIM, paspor, NPWP atau NPWP. Ada banyak cara potensial untuk memperoleh jenis informasi ini melalui sumber lain, dan saya tidak akan membahasnya dalam laporan ini.
Keamanan informasi dari sumber-sumber utama dokumen-dokumen ini – SSS, Government Service Insurance System atau GSIS, Biro Pendapatan Dalam Negeri (BIR), Kantor Perhubungan Darat, dan Departemen Luar Negeri, harus diperkuat lebih lanjut.
Data Comelec hanyalah salah satu bagian dari teka-teki yang lebih besar. Maaf untuk pembayar pajak teratas di Filipina. BIR menerbitkan daftar ini setiap tahun di situs web mereka. Informasi dalam daftar tersebut cukup untuk mencocokkan informasi dari data yang bocor.
Apa sekarang?
Banyak yang telah ditulis tentang apa yang harus dilakukan untuk melindungi diri kita sendiri dan mengambil tindakan pencegahan. Tidak akan pernah ada cukup tip, dan media harus terus memberi tahu orang-orang tentang apa yang harus dilakukan untuk melindungi diri mereka sendiri. Inisiatif yang lebih kecil seperti dari ini juga akan pergi jauh.
Untuk bank, perusahaan telekomunikasi, dan entitas pemerintah – yang merupakan penjaga bagian lain dari teka-teki informasi identitas – keamanan informasi dan perlindungan pelanggan atau warga negara harus diberikan perhatian yang lebih serius.
Undang beragam profesional TI di bidang teknologi untuk meninjau sesi (bukan hanya orang dengan sertifikasi, jika tidak, Anda menciptakan persepsi bahwa Anda sengaja mengecualikan orang).
Selain itu, peretas belum tentu memiliki sertifikasi yang Anda perlukan dari peninjau Anda. – Rappler.com
