blog.ur-doc.com

Ini adalah pelanggaran data pemerintah terbesar yang pernah terjadi di Filipina, namun hingga dua hari yang lalu, hanya penggemar teknologi paling berdedikasi yang memiliki akses ke motherboard yang dicuri tersebut.

Lalu tiba-tiba seluruh Internet dapat mengunjungi halaman pencarian sederhana yang disebut “Kami Memiliki Data Anda” (WHYD) dan mencari informasi pribadi sekitar 55 juta warga, jumlah yang menyaingi Facebook sebagai daftar terlengkap orang Filipina online.

Ketika situs Komisi Pemilihan Umum (Comelec) diretas oleh Anonymous Filipina pada tanggal 27 Maret, halaman utama situs tersebut dirusak dan diganti dengan seruan untuk meningkatkan keamanan di antara mesin pemungutan suara. Ini juga berisi peringatan yang cukup serius bahwa kelompok peretas terkenal itu “tidak memaafkan” dan “tidak melupakan”.

Meskipun situs web itu sendiri dipulihkan pada hari yang sama, efek sebenarnya dari peretasan tersebut tidak akan terasa sampai Lulzsec Pilipinas, kelompok peretas lainnya, mengklaim telah mengakses database informasi pemilih sebenarnya yang disimpan Comelec selama bertahun-tahun.

Saat saya menulis ini, database 76,4 gigabyte yang sama sedang diunduh ke komputer di rumah saya. (Seperti yang dilaporkan oleh banyak orang lain, Saya juga menerima sebagian arsip dari alamat IP di Malacañang.)

Layanan ini berjalan sepanjang malam – Filipina tidak begitu terkenal dengan kecepatan internetnya yang sangat cepat – namun fakta bahwa saya mendapatkan tautannya dari obrolan Facebook sungguh mengkhawatirkan.

Satu-satunya hal yang lebih mengkhawatirkan adalah mulai tanggal 21 April juga ada situs web yang dapat saya kunjungi jika saya ingin mencari database secara langsung, tanpa usaha tambahan atau pengetahuan teknis apa pun.

Kesenjangan dalam keamanan

Saya berkorespondensi dengan salah satu orang yang bertanggung jawab atas MENGAPA pada malam peluncuran situs tersebut, dan melalui serangkaian email singkat saya mulai mengumpulkan bagaimana sebenarnya peretasan ini bisa terjadi.

Namun, penting untuk disebutkan bahwa meskipun WHYD menggunakan data mentah yang dirilis oleh Lulzsec Pilipinas, individu yang membangun situs tersebut tidak terkait langsung dengan kelompok tersebut.

LB: Mengingat banyaknya data yang kini tersedia, bagaimana cara entitas jahat dapat mencampur ulang informasi ini?

MENGAPA: Kami ragu data yang bocor bermanfaat bagi penjahat. Hampir tidak ada nomor paspor dalam data yang bocor.

TrendMicro, dalam laporannya sendiri, mengklaim bahwa 1,3 juta nomor paspor ditemukan dalam data mentah, meskipun situs web WHYD tampaknya tidak mencantumkan satu pun nomor tersebut. Faktanya, tampaknya terdapat lebih banyak informasi dalam database mentah daripada yang dipublikasikan dan dapat dicari di WHYD.

LB: Enkripsi macam apa yang mereka gunakan? Saya ingin mengetahui secara detail kegagalan teknologi tersebut.

MENGAPA: Mereka menggunakan RSA/Rijndael standar. Itu tidak bisa dipecahkan jika digunakan dengan benar. Kesalahan mereka adalah mengenkripsi data yang dapat kita tebak atau setidaknya temukan.

Ada pepatah di industri teknologi yang mengatakan bahwa rantai keamanan Anda hanya akan berfungsi jika ada tautan terlemahnya.

Perwakilan WHYD menjelaskan langkah demi langkah bagaimana enkripsi digunakan secara tidak konsisten di seluruh database Comelec, dengan beberapa bagian disimpan secara jelas, yaitu tanpa enkripsi apa pun.

Bagian yang tidak terenkripsi ini, termasuk nama depan dan belakang, memungkinkan mereka melakukan jutaan operasi pencarian dan penggantian sederhana untuk mencocokkan data yang tidak terenkripsi dengan data terenkripsi, sehingga membuka sebagian besar informasi tanpa merusak RSA secara teknis.

LB: Langkah apa yang harus diambil Comelec atau lembaga pemerintah lainnya untuk mencegah terjadinya pelanggaran lebih lanjut? Menurut Anda, apa kesalahan terbesar Comelec dalam hal keamanannya (selain membuat seluruh basis data pemilih dapat diakses melalui internet publik)?

MENGAPA: Temukan beberapa pengembang nyata, bukan monyet kode $1/jam itu. Basis data Comelec dirancang dengan sangat buruk. Kami masih belum memahami cara kerjanya di dunia nyata. Pilihan buruk mereka memungkinkan kami memecahkan enkripsi bahkan tanpa memiliki kunci dekripsi.

Halaman Kuning Filipina yang baru

Saya membayangkan situs ini mungkin mulai melemah di bawah tekanan beberapa ratus ribu netizen yang khawatir dan mencari sendiri seberapa parah kerusakannya, seperti menyaksikan kecelakaan mobil kolektif mereka sendiri. (Catatan Editor: Situs web telah dihapus dari publikasi ini)

Saya menghabiskan banyak waktu di WeHaveYourData.com untuk mencari keluarga dan teman.

Faktanya, saya tidak yakin apa yang akan saya lakukan jika saya menemukan informasi saya atau informasi keluarga saya di sana. Kualitas profil sangat tidak konsisten: beberapa hanya berisi nama, tanggal lahir, dan alamat yang sudah ketinggalan zaman, sementara yang lain bahkan menyertakan nama dan lokasi orang tua.

Saya telah menemukan api lama, kontak bisnis lama, pengganggu di sekolah menengah yang ingin saya pemeras, dll., dll. Mereka semua ada di sana.

Sejujurnya, saya akan mendapatkan informasi yang lebih berguna dari pencarian Google.

LB: Di negara lain, buku telepon umum mempunyai banyak informasi yang sama dengan yang tercantum dalam database ini, kecuali tanggal lahir orang tersebut. Bagaimana Anda menilai keseriusan pelanggaran ini?

MENGAPA: Facebook menampilkan sebagian besar data. Kami baru saja menggabungkannya di satu tempat.

Apakah non-pemilih juga dapat dicari?

Beberapa orang melaporkan bahwa mereka belum pernah mendaftar ke Comelec, namun identitas mereka tercantum di antara mereka yang mendaftar. Tidak jelas mengapa hal ini terjadi, namun hal ini menyiratkan bahwa basis data pemilih yang dikelola oleh Comelec mungkin tidak 100% hanya terdiri dari pemilih terdaftar.

Kami mengonfirmasi bahwa nama warga yang tidak terdaftar ada di database mentah yang dibagikan oleh Lulzsec Pilipinas serta situs web WHYD yang dapat diakses publik. (Kami tidak dapat berasumsi bahwa kedua sumber tersebut adalah satu sumber yang sama, karena tidak ada cara untuk memverifikasi bahwa sumber tersebut tidak digabungkan dengan data lain.) Dan benar saja, nama-nama tersebut ada di sana, tercampur dengan nama-nama lainnya. sisanya.

Hal ini tentu membingungkan dan patut untuk diteliti lebih lanjut.

LB: Apakah menurut Anda apa yang Anda lakukan di We Have Your Data adalah tindakan ilegal? Tidak etis?

MENGAPA: Kami terpaksa membuat website ini untuk menarik perhatian masyarakat terhadap kebocoran ini. Pemerintah perlu melindungi data dengan lebih baik dan masyarakat perlu menyadari bahwa data mereka telah bocor untuk mencegah kebocoran lebih lanjut.

Pada pagi hari tanggal 22 April, produser WHYD mengumumkan di akun Twitter mereka bahwa mereka akan melelang situs tersebut kepada penawar tertinggi, dan dengan cepat menghapus tweet tersebut beberapa jam kemudian.

Kami tidak menjual apa pun. Anggota kami tidak berwenang untuk menulis tweet sebelumnya (sekarang dihapus).

— KamiMemilikiData Anda (@KamiMemilikiData Anda) 22 April 2016

– Rappler.com

Terima kasih kepada semua teman dan kolega yang telah menyumbangkan keahlian dan/atau informasi pribadinya untuk penelitian artikel ini.