Courtesy of TechCrunch

Kebocoran Database Internal APIsec Ungkap Data Pelanggan Tanpa Password

01 Apr 2025, 00.01 WIB

103 dibaca

Ikhtisar 15 Detik

Kebocoran data APIsec menunjukkan risiko keamanan yang signifikan dalam pengelolaan informasi pelanggan.
Pentingnya menjaga keamanan database internal agar tidak terpapar ke internet tanpa perlindungan yang memadai.
Kesalahan manusia dapat menyebabkan konsekuensi serius dalam keamanan siber, seperti yang terlihat dalam kasus APIsec.

APIsec, sebuah perusahaan yang menguji keamanan API, baru-baru ini mengalami kebocoran data setelah sebuah database internal mereka terhubung ke internet tanpa kata sandi selama beberapa hari. Database ini menyimpan informasi penting, termasuk nama dan alamat email karyawan dari pelanggan mereka, serta detail tentang keamanan sistem pelanggan. Kebocoran ini ditemukan oleh UpGuard, sebuah firma penelitian keamanan, yang segera memberi tahu APIsec pada 5 Maret.

Pendiri APIsec, Faizel Lakhani, awalnya meremehkan masalah ini dengan mengatakan bahwa database tersebut hanya berisi "data uji" dan bukan data pelanggan yang sebenarnya. Namun, setelah UpGuard memberikan bukti bahwa ada data pelanggan yang bocor, Lakhani mengakui bahwa informasi tersebut memang termasuk data nyata dari pelanggan mereka. APIsec kemudian memberi tahu pelanggan yang datanya terpengaruh.

Selain itu, UpGuard menemukan beberapa kunci pribadi dan kredensial untuk akun AWS, Slack, dan GitHub dalam dataset tersebut. APIsec menjelaskan bahwa kunci-kunci tersebut milik mantan karyawan yang sudah tidak bekerja di perusahaan selama dua tahun dan seharusnya sudah dinonaktifkan. Namun, masih belum jelas mengapa kunci-kunci tersebut bisa tersimpan dalam database yang bocor.

--------------------

Analisis Kami: Kasus kebocoran database APIsec menunjukkan bahwa meskipun perusahaan bergerak di bidang pengujian keamanan, human error tetap menjadi celah besar dalam perlindungan data. Ini menggarisbawahi pentingnya pelatihan keamanan berkelanjutan dan audit rutin untuk menghindari kejadian serupa yang dapat merusak reputasi dan kepercayaan pelanggan.

--------------------

Analisis Ahli:

Bruce Schneier: Kebocoran ini menekankan bahwa teknologi saja tidak cukup untuk melindungi data; perusahaan harus mengadopsi budaya keamanan yang melibatkan seluruh staf dan proses secara konsisten.

Eva Galperin: Pengelolaan kunci dan kredensial adalah aspek kritis yang sering diabaikan oleh perusahaan teknologi, dan kejadian ini menyoroti kebutuhan untuk memperbaiki manajemen identitas digital.

--------------------

What's Next: Insiden ini kemungkinan akan mendorong APIsec dan perusahaan sejenis untuk meningkatkan pengamanan database mereka dan memperketat prosedur internal dalam pengelolaan data, serta lebih transparan melaporkan insiden kepada pelanggan dan otoritas terkait di masa mendatang.

Referensi:
[1] https://techcrunch.com/2025/03/31/api-testing-firm-apisec-exposed-customer-data-during-security-lapse/