Kemungkinan bahwa data dapat secara tidak sengaja terekspos dalam basis data yang salah konfigurasi atau tidak aman adalah mimpi buruk privasi yang telah lama sulit untuk sepenuhnya ditangani. Namun penemuan baru tentang kumpulan besar 184 juta rekaman database—termasuk login dan kredensial Apple, Facebook, dan Google untuk akun yang terhubung dengan berbagai pemerintah—menekankan risiko mengumpulkan informasi sensitif secara sembrono dalam sebuah repositori yang bisa menjadi titik kegagalan tunggal.
Pada awal Mei, pemburu bobolan data berpengalaman dan peneliti keamanan Jeremiah Fowler menemukan basis data Elastic yang terekspos yang berisi 184.162.718 catatan di lebih dari 47 GB data. Biasanya, kata Fowler, dia dapat mengumpulkan petunjuk tentang siapa yang mengendalikan basis data yang terekspos dari isinya—rincian tentang organisasi, data terkait pelanggan atau karyawan, atau indikator lain yang menunjukkan mengapa data tersebut dikumpulkan. Namun, basis data ini tidak menyertakan petunjuk tentang siapa yang memiliki data tersebut atau dari mana data tersebut mungkin dikumpulkan.
Rentang dan cakupan besar dari rincian login, yang mencakup akun yang terhubung ke berbagai layanan digital, menunjukkan bahwa data tersebut adalah semacam kompilasi, mungkin disimpan oleh peneliti yang menyelidiki pelanggaran data atau aktivitas kejahatan siber lainnya atau dimiliki langsung oleh penyerang dan dicuri oleh malware infostealer.
Setiap catatan mencakup tag ID untuk jenis akun, URL untuk setiap situs web atau layanan, dan kemudian nama pengguna serta kata sandi dalam teks biasa. Fowler mencatat bahwa kolom kata sandi disebut "Senha," kata dalam bahasa Portugis untuk kata sandi.
Dalam sampel 10.000 catatan yang dianalisis oleh Fowler, terdapat 479 akun Facebook, 475 akun Google, 240 akun Instagram, 227 akun Roblox, 209 akun Discord, dan lebih dari 100 akun masing-masing untuk Microsoft, Netflix, dan PayPal. Sampel tersebut—hanya sebagian kecil dari total eksposur—juga mencakup login Amazon, Apple, Nintendo, Snapchat, Spotify, Twitter, WordPress, dan Yahoo, di antara banyak lainnya. Pencarian kata kunci dari sampel oleh Fowler menghasilkan 187 contoh kata "bank" dan 57 contoh kata "wallet."
Fowler, yang tidak mengunduh data tersebut, mengatakan bahwa dia menghubungi sampel alamat email yang terekspos dan mendapatkan balasan dari beberapa bahwa itu adalah akun yang asli.
Selain individu, data yang terekspos juga menghadirkan potensi risiko keamanan nasional, kata Fowler. Dalam 10.000 catatan sampel terdapat 220 alamat email dengan domain .gov. Ini terkait dengan setidaknya 29 negara, termasuk Amerika Serikat, Australia, Kanada, China, India, Israel, Selandia Baru, Arab Saudi, dan Inggris Raya.
Meskipun Fowler tidak dapat mengidentifikasi siapa yang menyusun basis data tersebut atau dari mana rincian login tersebut berasal, ia melaporkan kebocoran data tersebut kepada World Host Group, perusahaan hosting yang terkait dengannya. Akses ke basis data dengan cepat ditutup.