JBNews.id — Sebuah kebocoran data pada perkumpulan eksklusif Dialog telah mengekspos informasi pribadi puluhan peserta elite global, termasuk nama-nama komandan NATO, senator AS, dan pejabat tinggi keamanan nasional. Insiden ini terkuak setelah seorang peneliti keamanan siber menemukan bahwa situs pendaftaran acara Dialog tidak memiliki perlindungan kata sandi dasar, sehingga data sensitif dapat diakses oleh siapa saja yang memasukkan alamat email.
Dialog, sebuah kelompok diskusi tertutup yang didirikan oleh miliarder teknologi Peter Thiel, mengirimkan pemberitahuan kepada para pesertanya melalui email. Managing Director Dialog, Juliette Levine, menyatakan bahwa penyelidikan forensik menemukan nama 113 mantan peserta Dialog telah terekspos. Selain itu, informasi dari “beberapa” orang yang terdaftar untuk retret Dialog musim panas ini juga turut diakses. Levine menegaskan organisasi telah menutup sementara banyak sistemnya sebagai respons atas insiden ini.
Levine menuduh bahwa eksposur data ini “adalah peretasan yang dilakukan oleh penjahat terkenal yang dicari di Amerika Serikat.” Ia menambahkan bahwa kelompok tersebut bertindak “karena hati-hati” untuk melindungi “keselamatan, privasi, dan reputasi setiap Dialoger masa lalu dan sekarang.” Namun, beberapa tinjauan terhadap arsitektur situs yang dapat diakses publik justru menunjukkan adanya kesalahan konfigurasi, bukan peretasan.
WIRED pertama kali melaporkan catatan Dialog minggu lalu. Data tersebut mencakup daftar 113 nama yang dikonfirmasi Dialog sebagai mantan peserta dalam pengungkapan pelanggaran mereka — di antaranya seorang komandan NATO yang sedang menjabat, dua senator AS, dan Menteri Keuangan AS — serta daftar terpisah yang lebih panjang dari orang-orang yang terdaftar untuk retret Agustus di luar Dublin, Irlandia. WIRED juga melaporkan catatan yang mengungkap bagaimana kelompok tersebut secara pribadi menilai peserta, mempertimbangkan kekayaan dan pengaruh mereka dalam keputusan tentang penerimaan, tempat duduk, dan harga.
Situs Dialog, yang disiapkan untuk mendistribusikan aplikasi ponsel untuk pertemuan Agustus, memungkinkan setiap pengunjung mendaftar menggunakan alamat email apa pun. Situs tersebut tidak meminta kata sandi. Setelah mengirimkan email, pengunjung diarahkan ke halaman penampung yang hampir kosong; halaman yang sama juga memuat file internal sekitar 200 orang ke browser mereka. Melihat file-file tersebut hanya membutuhkan sedikit lebih dari sekadar memeriksa halaman dengan alat yang ada di setiap browser internet utama.
Data Sensitif dan Tokoh Penting yang Terbuka
Catatan yang dapat diakses melalui proses ini mencakup tokoh-tokoh senior di bidang keamanan nasional dan teknologi, baik yang masih aktif maupun mantan. Di antara mereka yang tercatat sebagai terdaftar untuk acara Dialog mendatang adalah pejabat NATO; seorang pejabat intelijen Gedung Putih saat ini; seorang jenderal pensiunan yang pernah memegang peran senior dalam intelijen AS; serta kepala kebijakan dan kemitraan keamanan nasional dari dua perusahaan AI terkemuka. Tokoh lainnya termasuk mantan menteri keamanan Inggris, mantan menteri pertahanan Jepang, dan mantan diplomat Pakistan.
Hampir untuk semua orang, data yang terekspos sangat komprehensif, mulai dari informasi kontak pribadi hingga token login yang aktif. Catatan tersebut juga berisi daftar peserta, jadwal, dan tautan ke kuesioner lengkap yang dihosting oleh Fillout, sebuah layanan yang digunakan Dialog untuk mengumpulkan informasi dari peserta dan menyimpannya di database Airtable. Memuat salah satu formulir tersebut mengembalikan informasi yang jauh lebih banyak daripada yang terkandung di halaman Dialog itu sendiri, termasuk tanggal lahir, kontak darurat, nomor ponsel, kecenderungan politik yang ditetapkan Dialog kepada anggotanya, peringkat internal dan catatan penilaian, serta kunci digital yang berfungsi sebagai login anggota.
Sebagian besar informasi itu tampaknya berasal langsung dari catatan Airtable Dialog. Airtable tidak menanggapi permintaan komentar. Dalam pernyataan kepada WIRED, Fillout mengatakan bahwa mereka “tidak mengetahui adanya kompromi pada sistem Fillout atau kerentanan platform yang aktif.” Perusahaan tersebut mengatakan bahwa pelanggan mengonfigurasi formulir, sumber data, dan alur kerja mereka sendiri, dan “perilaku formulir tertentu tergantung pada konfigurasi tersebut.” Fillout menolak berkomentar mengenai formulir atau catatan pelanggan tertentu.
Baca Juga:
Respons Hukum dan Investigasi
Dialog, yang tidak menanggapi permintaan komentar, telah mengirimkan surat melalui kuasa hukum luar pada akhir pekan ini yang menuntut WIRED menyerahkan salinan data yang diterimanya. Surat yang ditandatangani oleh mitra D. Reed Freeman dari firma hukum ArentFox Schiff tersebut mencirikan pelanggaran sebagai “serangan siber” oleh “penjahat siber yang dikenal,” berargumen bahwa file-file itu “dicuri,” dan mengatakan Dialog juga telah melaporkan insiden tersebut kepada penegak hukum. WIRED belum memberikan data apa pun kepada Dialog atau pengacaranya.
Eksposur ini pertama kali terungkap setelah maia arson crimew — seorang jurnalis dan peneliti keamanan siber asal Swiss yang didakwa di AS pada tahun 2021 atas tuduhan terkait peretasan tetapi belum dihukum karena kejahatan apa pun — menerima petunjuk dari dua sumber. Salah satu sumber sedang meninjau catatan Departemen Kehakiman AS terkait Jeffrey Epstein ketika mereka melihat nama Dialog pada undangan yang dikirim ke pihak ketiga pada tahun 2012, yang telah diteruskan ke pelaku kejahatan seksual terkenal itu, dan menjadi penasaran tentang kelompok rahasia tersebut. Sumber kedua kemudian mengarahkan crimew ke aplikasi retret.
Crimew mengatakan bahwa ia tidak mengeksploitasi celah perangkat lunak atau melewati langkah keamanan apa pun untuk mengakses data Dialog, dan melihat catatan yang sama yang tersedia untuk browser setiap pengunjung. Nicholas Weaver, anggota tim keamanan jaringan nonprofit International Computer Science Institute, mengatakan bahwa eksposur ini memiliki ciri-ciri kesalahan desain web daripada intrusi yang canggih. “Ini adalah kelalaian dan pola anti yang sebenarnya tidak jarang terjadi,” kata Weaver, merujuk pada kesalahan umum yang seharusnya bisa dihindari.
Aaron Mackey, wakil direktur hukum di Electronic Frontier Foundation, sebuah nonprofit hak digital, mengatakan bahwa berdasarkan apa yang diketahui publik tentang akses luar ke data Dialog, mencirikan aktivitas tersebut sebagai “kriminal” tampak “jauh dari kenyataan.” Ia memperingatkan bahwa undang-undang kejahatan komputer yang luas kadang-kadang digunakan untuk mendinginkan penelitian keamanan, jurnalisme, dan aktivitas lain yang dilindungi Amandemen Pertama. Berdasarkan detail yang tersedia, Mackey mengatakan bahwa insiden tersebut melibatkan situs web Dialog yang memberikan data kepada orang-orang yang telah memasukkan alamat email di situs tersebut, bukan siapa pun yang melewati kontrol teknis untuk mendapatkan akses. “Dalam keadaan itu, mereka tidak melakukan apa pun selain mengikuti tautan di situs web,” katanya.
Dampak dan Reaksi Publik
Eksposur Dialog memicu kegemparan publik di kalangan peserta terkemuka untuk menjelaskan kehadiran mereka dalam daftar. Ezra Klein, kolumnis New York Times, menulis di X bahwa ia telah menghadiri Dialog dua kali, pada tahun 2018 dan 2022, tetapi tidak melihat atau berbicara dengan Peter Thiel dan mencatat bahwa orang-orang yang disebutkan dalam pernyataannya “tidak saling percaya dan tidak memiliki agenda yang selaras.” Aktor Joseph Gordon-Levitt mengatakan di Instagram bahwa ia telah menghadiri dua konferensi tetapi tidak pernah bertemu atau berbicara dengan Thiel, yang ia gambarkan sebagai lawan politik dan ideologisnya. Aktris Sophia Bush, yang telah berkampanye menentang teknologi deepfake, mengatakan bahwa ia hadir untuk melawan hype AI dan terkejut mengetahui bahwa kelompok tersebut didirikan bersama oleh seseorang “yang tidak akan bisa dibayar untuk berada dalam satu ruangan dengannya.”
Insiden ini menyoroti kerentanan serius dalam pengelolaan data oleh organisasi yang menangani informasi tokoh-tokoh paling berpengaruh di dunia. Kegagalan menerapkan autentikasi dasar pada situs pendaftaran menunjukkan bahwa kesalahan konfigurasi dapat berdampak lebih luas daripada serangan siber yang canggih. Para ahli menekankan bahwa insiden ini seharusnya menjadi peringatan bagi semua organisasi untuk mengaudit arsitektur keamanan situs mereka secara berkala.
Bagi para peserta Dialog yang namanya tercantum dalam data bocor, implikasinya sangat serius. Informasi kontak pribadi, token login aktif, dan bahkan catatan penilaian internal kini berada di tangan publik. Hal ini tidak hanya mengancam privasi individu, tetapi juga berpotensi membahayakan keamanan nasional mengingat profil tinggi dari banyak peserta. Transformasi digital yang semakin masif membuat risiko kebocoran data menjadi ancaman nyata bagi semua kalangan, tanpa terkecuali tokoh-tokoh paling berkuasa di dunia.
