Basis data yang tidak aman memperlihatkan 240 ribu catatan pelanggan Willow

Willow Pay, sebuah fintech yang memungkinkan konsumen membagi tagihan menjadi empat pembayaran mingguan, nama pelanggannya, alamat dan salinan tagihan mereka terekspos oleh database tanpa jaminan yang baru-baru ini ditemukan oleh seorang peneliti keamanan.

Peneliti Jeremiah Fowler mengatakan database tersebut mencakup 241.970 catatan, termasuk tagihan, milis, inkonsistensi akun, jadwal pembayaran, dan informasi lainnya.

Tidak jelas apakah database tersebut milik Willow, pihak ketiga yang dikontrak oleh Willow, atau entitas lain. Juga tidak jelas apakah ada pihak yang tidak berwenang yang membobol database sebelum Fowler menemukannya. Dokumen yang telah disunting dan diterbitkan oleh Fowler menunjukkan bahwa Willow adalah sumber asli dari dokumen tersebut, termasuk tanda terima pembayaran yang dikirim oleh Willow dan detail akun Willow.

Willow tidak menanggapi permintaan komentar dari Bankir Amerika. Fowler mengatakan pihak fintech juga tidak menanggapinya ketika dia memberi tahu perusahaan tentang database yang terungkap.

Basis data mencakup berbagai macam dokumen. Salah satu tangkapan layar yang diposting Fowler tampaknya menunjukkan tagihan telepon yang mencakup panggilan dan pesan teks ke dan dari akun telepon pelanggan. Dokumen lainnya adalah spreadsheet yang berisi rincian 56.864 individu yang menunjukkan apakah mereka pelanggan aktif, prospek, atau akun yang diblokir.

Tak satu pun dari sampel catatan yang ditinjau dan diungkapkan Fowler kepada publik tampaknya menyertakan nomor Jaminan Sosial, nomor SIM, atau data identitas pemerintah lainnya, yang dapat digunakan untuk pencurian identitas.

Meskipun kurangnya informasi identitas, paparan publik terhadap database menimbulkan ancaman privasi dan keamanan bagi konsumen yang datanya muncul dalam catatan. Pelaku ancaman sering kali menggunakan informasi non-identifikasi dalam serangan spearphishing, yang mana mereka menggunakan pengetahuan spesifik tentang calon korban untuk mengintimidasi mereka atau menyamar sebagai entitas tepercaya, seperti perusahaan utilitas yang menagih mereka.

Fowler telah mendokumentasikan contoh lain dari database tidak aman yang dikelola oleh perusahaan jasa keuangan. Pada tahun 2023, dia menemukan database terkait dengan fintech perbankan bisnis NorthOne yang berisi lebih dari 1 juta nama, alamat fisik, dan nomor telepon konsumen dan pemilik bisnis.

Menemukan database publik tanpa jaminan yang berisi catatan pribadi adalah metode umum untuk mengakses data tanpa izin. Perusahaan mengekspos database ini karena kegagalan mengenkripsi atau melindungi catatan dengan kata sandi — terkadang disebabkan oleh pengaturan default yang tidak aman.

Fowler tidak mengungkapkan secara terbuka bagaimana dia menemukan database data pelanggan Willow. Peneliti keamanan dan pelaku ancaman memiliki berbagai metode dan alat untuk menemukan database ini, seperti Google bodohyaitu teknik yang melibatkan penggunaan operator pencarian tertentu untuk mencari file yang cenderung muncul dalam pelanggaran data.

Misalnya, peneliti atau pelaku ancaman mungkin menggunakan istilah penelusuran seperti “tipe file:pdf” untuk menentukan bahwa hasil Google harus dibatasi pada file PDF. Mereka mungkin juga menggunakan operator “intitle:” untuk menentukan kata-kata yang mungkin muncul di judul halaman web, seperti “kata sandi”.