TERDAPAT lebih daripada satu cara untuk kebocoran data 46.2 juta pelanggan syarikat telekomunikasi di Malaysia berlaku, kata pengasas Lowyat.net Vijandren Ramadass, dan menambah siasatan yang dijalankan laman web itu mendapati data berkenaan dihantar kepada kalangan pengguna yang berlainan.

Ketika forum dalam talian itu menemui maklumat itu pada 19 Oktober, ia adalah percuma dan boleh didapati dalam bentuk pautan muat turun secara terus di beberapa laman web.

Menurut Vijandren, fail yang diperoleh adalah dalam format yang berbeza dan menunjukkan proses degradasi menggunaan beberapa perisian mampatan. Ini bermakna data berkenaan telah dikongsikan dalam kalangan beberapa pengguna berbeza, dan ia berkembang apabila lebih banyak data peribadi dikumpulkan.

“Data berkenaan adalah dalam beberapa format berbeza dan dilampirkan dalam beberapa fail zip dalam beberapa format zip yang berbeza.

“Sebab mengapa kita tahu bahawa fail itu bukan baru adalah kerana apabila ia dizipkan (mampatan) data fail akan korup sedikit, jadi makin banyak mampatan, semakin banyak fail yang korup.

“Banyak fail yang kami dapat adalah korup.”

Ini sebabnya mengapa sukar untuk tentukan dari mana kebocoran itu berlaku, kata Vijandren. Tambahnya, pengguna dalam talian sudah berkongsikan maklumat ini sejak bertahun lalu, menyebabkan semakin sukar untuk tentukan dari mana ia bermula.

Lowyat.net sebelum ini berkata, kebocoran data itu berlaku antara Mei dan Julai 2014.

Kebocoran itu memberi kesan kepada Jobstreet.com, Persatuan Perubatan Malaysia, Majlis Perubatan Malaysia, Akademi Perubatan Malaysia, Persatuan Pergigian Malaysia, Pendaftaran Pakar Kebangsaan Malaysia, dan syarikat telekomunikasi seperti Maxis, Celcom dan DiGi.

“Terdapat beberapa lokasi (pautan muat turun secara terus) yang kami temui pada masa itu. Kami sudah menghantar pautan berkenaan kepada Suruhanjaya Komunikasi dan Multimedia Malaysia (SKMM) untuk tindakan lanjut.

“Dan ramai yang tidak tahu tentang perkara ini beranggapan ia sesuatu yang baru, namun selepas menjejaki pengguna yang cuba mengaut keuntungan dari laman web kami, kami dapati ada orang lain lagi yang sudah meletakannya di situ,” kata Vijandren.

Bukan mudah untuk membocorkan pangkalan data telco dengan menggodam secara terus, tambahnya. Namun begitu, kebocoran ini boleh disebabkan beberapa faktor.

Telco katanya merupakan sistem tertutup. Malah data mereka tidak sepatutnya boleh diakses oleh sesiapa dan untuk menggodam dari luar lebih sukar.

“Tetapi ia boleh jadi apa sahaja, ia boleh jadi masalah dalam pelayan atau kesilapan manusia. Atau mungkin serangan media sosial. Ada orang dalam yang menarik data ini terus daripada pelayan,” katanya kepada The Malaysian Insight.

Cara terakhir dipanggil kejuruteraan sosial dan kerana dijalankan dari dalam, tiada gunanya untuk syarikat menaik taraf keselamtan siber untuk halang kebocoran ini, kata Vijandren.

“Ia bukan lagi tentang melindung pelayan anda, ia juga mereka yang bekerja dan masuk untuk mengakses data. Di situ berlakunya kebocoran berbanding mereka yang menggodam pelayan secara fizikal dan menarik keluar data,” katanya.

Penggodaman sosial

Juga dikenali sebagai penggodaman sosial, kejuruteraan sosial membolehkan pencuri data mengakses maklumat dengan lebih cepat, mudah dan efisien, kata Irene Dima dari Majlis Perunding Perdagangan Elektronik Antarabangsa (EC).

“Penggodam kini cuba untuk tidak menggunakan pengekod, mereka hanya perlu jalankan kejuruteraan sosial,” katanya kepada The Malaysian Insight.

Melalui penggodaman sosial, Dima berkata penggodam boleh menyamar sebagai pekerja atau sesiapa yang rapat untuk mendapatkan maklumat seperti nama ibu kandung atau kelulusan transaksi perbankan.

“Bagaimanapun, ia tidak bermakna mereka tidak menggunakan taktik seperti melancarkan serangan malware menerusi emel atau memberikan pelayan atau laman web anda penilaian rentan.

“Mereka boleh menjadi penyamar, mereka memiliki peralatan dan aplikasi perisian yang boleh mereka gunakan untuk menembusi laman web dalam talian untuk mencari lubang dan mempergunakannya, dan masuk ke dalam sistem untuk mengawalnya,” katanya.

Dima berkata, apabila penggodam membocorkan sistem untuk mendapatkan data, mereka akan berada lama di situ untuk mengumpul maklumat sebanyak mungkin dan tidak hanya akan mengambil apa sahaja yang boleh.

Ini boleh dilihat menerusi data peribadi 46.2 juta pelanggan talian telefon bimbit yang bocor yang mana penggodam mendapatkan data antara Mei dan Julai 2014.

Dima berkata, majlis EC, iaitu sebuah badan yang mempunyai kuasa ke atas keselamatan siber dan sijil keselamatan IT, mendapati kebanyakan syarikat di Malaysia mengabaikan keselamatan ini.

The Malaysian Insight juga cuba mendapatan maklum balas daripada syarikat telekomunikasi tempatan Celcom dan DiGi mengenai bila dan apa yang bocor dalam pangkalan data mereka dan adakah ia sudah diselesaikan, namun masih belum menerima maklum balas.

The Malaysian Insight turut menghubungi Maxis, yang turut tidak memberikan maklum balas.

“Lihat kepada penggodaman bank di Bangladesh tahun lalu, penceroboh membuat pemerhatian ke atas syarikat dan bank sebelum mereka mula mengeluarkan wang.

“Ia bukanlah seperti menceroboh sebuah rumah dan ambil sahaja apa yang dilihat.”

Tambah Dima, syarikat yang mengendalikan data peribadi pengguna mereka juga boleh dikenakan saman sekiranya data pengguna terdedah kepada umum.

“Di Malaysia, pelanggan dilindungi di bawah Akta Perlindungan Data Peribadi. Sekiranya anda bocorkan maklumat tentang seseorang kerana sistem anda dikompromi , maka anda boleh dikenakan tindakan kerana kebocoran itu,” katanya.

Sesyen 9  Akta Perlindungan Data Peribadi menyebut,  syarikat yang menguruskan data pelanggan perlu “mengambil lakngkah praktikal untuk melindungi data peribadi”.

“Syarikat mungkin tidak sengaja mendedahkan maklumat kepada pihak ketiga, namun apabila pihak ketiga mendapatkan maklumat melalui mereka, ia adalah perkara yang sama,” kata Dima.  – 2 November, 2017.