Data breach alias kebocoran data kembali terjadi. Sebanyak 700 juta data pengguna Linkedin saat ini sedang dijual di dark web. Data di dalamnya meliputi nama lengkap, alamat email, nomor telepon, alamat fisik, geolokasi, dan pengalaman kerja pengguna Linkedin. Mengingat pengguna Linkedin saat ini 756 juta, berarti kebocoran data ini menimpa 92% pengguna Linkedin.
Untungnya (jika memang bisa dibilang begitu), tidak ada data password di dalam kebocoran data ini. Namun tetap saja, informasi yang bocor tetap data penting yang bisa disalahgunakan pihak yang bermaksud jahat.
Untuk membuktikan akurasi data, hacker yang menjual data ini menyebarkan secara gratis 1 juta data yang mereka miliki. Penelusuran Restore Privacy menunjukkan, data yang disebar secara gratis itu asli dan terkait dengan pengguna Linkedin sungguhan. Datanya pun terbilang baru, karena memuat data pengguna di kisaran tahun 2020 sampai 2021.
Ketika dikontak Restore Privacy, sang hacker mengaku mendapatkan data tersebut dengan memanfaatkan data dari API Linkedin. Sekadar informasi, API (Application Programming Interface) adalah software perantara yang memungkinkan dua aplikasi saling berbicara. Penggunaan teknologi API sudah jamak dilakukan saat ini, karena memudahkan proses pertukaran data dari pihak berbeda.
Komentar Linkedin
Linkedin sendiri telah mengeluarkan pernyataan resmi soal insiden ini. Linkedin menyebut, API yang mereka sediakan memang memungkinkan pihak lain mengambil data atau informasi yang tersedia. Namun Linkedin menyebut, data dari API mereka tidak sedetail data yang bocor ini.
“Penyelidikan awal kami menemukan, data ini merupakan kombinasi dari data yang dikumpulkan dari Linkedin dan juga situs lain,” tulis Linkedian dalam pernyataan tertulisnya. “Kami juga menemukan, datanya sama dengan yang dilaporkan pada kejadian April 2021 lalu,” tambah Linkedin.
April 2021 kemarin, memang sempat beredar 500 juta data pengguna Linkedin yang dijual di dark web. Kala itu Linkedin pun menyebut, data didapat dari aksi data scraping (alias mengumpulkan data dengan tools tertentu) di Linkedin. Dengan kata lain, Linkedin tidak mengkategorikan insiden ini sebagai data breach.
Tentu saja, definisi insiden ini bisa diperdebatkan. Definisi data breach biasanya memang digunakan ketika data penting yang disimpan untuk kepentingan internal, dicuri orang yang tidak berkepentingan. Sementara data scraping lebih kepada pengumpulan data dari data yang memang ditujukan untuk kalangan eksternal.
Namun yang patut dipertanyakan adalah, mengapa Linkedin membuat API yang memungkinkan pihak luar melakukan data scraping? Kalau pun API dibuat untuk meningkatkan visibilitas pengguna Linkedin di mesin pencari, mengapa tidak melakukan pengamanan yang lebih ketat agar tidak ada pihak yang melakukan data scraping?
Apalagi, informasi yang terkandung relatif penting dan bisa disalahgunakan. Contohnya melakukan pencurian identitas, percobaan phishing, sampai serangan bermodus social engineering.
Jadi terlepas dari definisi, insiden ini lagi-lagi menunjukkan kelemahan Linkedin dalam melindungi data penggunanya.