Orang yang mengklaim telah mencuri alamat fisik dari 49 juta pelanggan Dell tampaknya telah mengambil lebih banyak data dari portal Dell yang berbeda, demikian yang diketahui oleh TechCrunch.

Data yang baru terkompromi termasuk nama, nomor telepon, dan alamat email dari pelanggan Dell. Data pribadi ini terdapat dalam "laporan layanan" pelanggan, yang juga mencakup informasi tentang perangkat keras pengganti dan suku cadang, komentar dari insinyur di lokasi, nomor pengiriman, dan, dalam beberapa kasus, log diagnostik yang diunggah dari komputer pelanggan.

Beberapa laporan yang dilihat oleh TechCrunch berisi foto-foto yang tampaknya diambil oleh pelanggan dan diunggah ke Dell untuk mencari dukungan teknis. Beberapa foto ini mengandung metadata yang menunjukkan koordinat GPS persis dari lokasi di mana pelanggan mengambil foto tersebut, menurut sampel data yang diambil oleh TechCrunch.

TechCrunch telah mengkonfirmasi bahwa informasi pribadi pelanggan terlihat asli.

Ini adalah pengungkapan kedua data pelanggan Dell yang terbuka dalam dua minggu terakhir. Minggu lalu, Dell memberitahu pelanggan bahwa telah terjadi pelanggaran data, mengatakan dalam email bahwa raksasa teknologi sedang menyelidiki "insiden yang melibatkan portal Dell, yang berisi database dengan jenis informasi pelanggan terbatas terkait pembelian dari Dell."

Data yang dicuri meliputi nama dan alamat fisik pelanggan, serta data yang kurang sensitif, seperti "informasi perangkat keras dan pesanan Dell, termasuk tag layanan, deskripsi item, tanggal pemesanan, dan informasi jaminan terkait."

Dell meremehkan pelanggaran pada saat itu, mengatakan bahwa kebocoran alamat pelanggan tidak menimbulkan "risiko signifikan bagi pelanggan kami," dan bahwa informasi yang dicuri tidak termasuk "informasi pelanggan yang sangat sensitif," seperti alamat email dan nomor telepon.

Seseorang yang menggunakan nama online Menelik menyatakan tanggung jawab atas kedua pelanggaran data tersebut. Dalam wawancara dengan TechCrunch, Menelik memberikan sampel data yang dia curi, yang memungkinkan TechCrunch memverifikasi bahwa data tersebut sah. Menelik juga memberikan salinan email yang dia kirim ke Dell, dan perusahaan tersebut mengonfirmasi kepada TechCrunch bahwa mereka menerima email tentang pelanggaran data dari Menelik.

Sekarang, ternyata Menelik menemukan kelemahan lain di portal Dell lainnya, yang memungkinkan dia mengumpulkan lebih banyak data pelanggan.

“Saya menemukan sesuatu untuk data email dan nomor telepon,” kata Menelik kepada TechCrunch. “Tapi saya tidak akan melakukan apa pun dengannya saat ini. Saya ingin melihat bagaimana Dell merespons topik saat ini.”

Satu hari setelah artikel ini dipublikasikan, juru bicara Dell yang tidak disebut namanya memberi tahu TechCrunch bahwa perusahaan mengetahui laporan tersebut dan sedang menyelidiki.

Menelik mengatakan bahwa dia telah menggarap data sekitar 30.000 pelanggan AS, dan mengatakan bahwa kelemahan yang dieksploitasi olehnya mirip dengan bug yang memungkinkan dia mendapatkan 49 juta rekaman pelanggan pertama. Namun, kerentanannya yang kedua ini mencegahnya mengumpulkan data dengan cepat seperti dalam pelanggaran pertama.

Seperti yang dilaporkan TechCrunch, dalam pelanggaran pertama Menelik mengatakan bahwa dia bisa menggarap data pelanggan Dell dari portal di mana dia mendaftarkan beberapa akun sebagai "mitra," artinya dia berpura-pura menjalankan perusahaan yang menjual produk atau layanan Dell. Begitu Dell menyetujui permintaannya, Menelik mengatakan bahwa dia bisa menebak tag layanan pelanggan, yang terdiri dari tujuh digit hanya angka dan huruf konsonan.

Menelik memposting iklan di forum peretasan yang terkenal untuk menjual data tersebut. Pada saat penulisan artikel ini, daftar tersebut telah dihapus, dan Menelik mengatakan bahwa itu karena dia telah menjual data tersebut, meskipun dia menolak untuk mengatakan dengan harga berapa.

Ditanya apa yang akan dia lakukan dengan data baru tersebut, Menelik mengatakan bahwa dia belum memutuskan.

Mengingat bahwa beberapa data yang diambil mengandung informasi pribadi pelanggan di Uni Eropa, TechCrunch menghubungi otoritas perlindungan data nasional Irlandia, yang tidak segera merespons permintaan komentar.

Pembaharuan, Rabu, 15 Mei, 2:45 p.m. ET: Cerita ini diperbarui untuk memasukkan komentar Dell.

Hubungi Kami

Apakah Anda mengetahui lebih lanjut tentang peretasan Dell ini? Atau pelanggaran data serupa? Dari perangkat non-kantor, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai secara aman di Signal di +1 917 257 1382, atau melalui Telegram, Keybase, dan Wire @lorenzofb, atau email. Anda juga dapat menghubungi TechCrunch melalui SecureDrop.