Orang yang mengklaim memiliki 49 juta catatan pelanggan Dell memberitahu TechCrunch bahwa dia memaksa masuk ke portal perusahaan online dan mengambil data pelanggan, termasuk alamat fisik, langsung dari server Dell.
TechCrunch memverifikasi bahwa sebagian dari data yang diambil cocok dengan informasi pribadi pelanggan Dell.
Pada hari Kamis, Dell mengirim email kepada pelanggan yang mengatakan bahwa pembuat komputer itu mengalami pelanggaran data yang mencakup nama pelanggan, alamat fisik, dan informasi pesanan Dell.
"Kami percaya tidak ada risiko signifikan bagi pelanggan kami mengingat jenis informasi yang terlibat," tulis Dell dalam email tersebut, dalam upaya untuk meremehkan dampak pelanggaran, menyiratkan bahwa perusahaan tidak menganggap alamat pelanggan sebagai informasi "sangat sensitive".
Aktor ancaman mengatakan dia mendaftar dengan beberapa nama berbeda di portal Dell tertentu sebagai "mitra". Seorang mitra, katanya, merujuk pada perusahaan yang menjual produk atau layanan Dell kembali. Setelah Dell menyetujui akun mitranya, Menelik mengatakan dia memaksa masuk tag layanan pelanggan, yang terdiri dari tujuh digit hanya berupa angka dan konsonan. Dia juga mengatakan bahwa "semua jenis mitra" bisa mengakses portal yang dia dapatkan aksesnya.
"[Saya] mengirim lebih dari 5.000 permintaan per menit ke halaman ini yang berisi informasi sensitif. Percaya atau tidak, saya terus melakukan ini selama hampir 3 minggu dan Dell tidak menyadari apa pun. Hampir 50 Juta permintaan...Setelah saya berpikir saya mendapatkan data yang cukup, saya mengirim beberapa email ke Dell dan memberitahukan kerentanannya. Mereka memerlukan hampir seminggu untuk memperbaikinya semua," kata Menelik kepada TechCrunch.
Menelik, yang membagikan tangkapan layar beberapa email yang dikirimnya pertengahan April, juga mengatakan bahwa pada suatu titik dia berhenti mengambil data dan tidak mendapatkan database lengkap data pelanggan. Juru bicara Dell mengonfirmasi kepada TechCrunch bahwa perusahaan menerima email dari aktor ancaman tersebut.
Aktor ancaman tersebut mencantumkan database yang dicuri dari data pelanggan Dell di forum peretasan yang terkenal. Daftar forum tersebut pertama kali dilaporkan oleh Daily Dark Web.
TechCrunch memverifikasi bahwa aktor ancaman memiliki data pelanggan Dell yang sah dengan membagikan sejumlah nama dan tag layanan pelanggan dari pelanggan — dengan izin mereka — yang menerima email pemberitahuan pelanggaran dari Dell. Dalam satu kasus, aktor ancaman menemukan informasi pribadi seorang pelanggan dengan mencari nama mereka dalam catatan yang dicuri. Dalam kasus lain, dia berhasil menemukan catatan yang sesuai dengan korban lain dengan mencari tag layanan perangkat keras spesifik dari pesanan yang dia buat.
Dell tidak mengungkapkan kepada siapa alamat fisik tersebut miliknya. Analisis TechCrunch dari sampel data yang diambil menunjukkan bahwa alamat tersebut tampaknya berkaitan dengan pembeli asli peralatan Dell, seperti bisnis yang membeli barang untuk karyawan jarak jauh. Dalam kasus konsumen yang membeli langsung dari Dell, TechCrunch menemukan banyak alamat fisik tersebut juga berkorelasi dengan alamat rumah konsumen atau lokasi lain tempat barang tersebut diterima.
Dell tidak membantah temuan kami ketika dihubungi untuk memberikan komentar.
Ketika TechCrunch mengirim serangkaian pertanyaan spesifik kepada Dell berdasarkan apa yang dikatakan aktor ancaman, juru bicara perusahaan yang tidak disebutkan namanya mengatakan bahwa "sebelum menerima email dari aktor ancaman, Dell telah menyadari dan sedang menyelidiki insiden tersebut, mengimplementasikan prosedur respons kami dan mengambil langkah-langkah pengendalian." Dell tidak menyediakan bukti untuk klaim ini.
“Mari kita ingat, aktor ancaman ini adalah penjahat dan kami telah memberitahukan penegak hukum. Kami tidak mengungkapkan informasi apa pun yang dapat membahayakan integritas penyelidikan kami yang sedang berlangsung atau penyelidikan oleh penegak hukum," tulis juru bicara tersebut.
