Moltbook Hacker Mengungkap Pelanggaran Database Besar yang Membocorkan Tokoh Industri AI

Seorang peneliti keamanan yang bertindak sebagai peretas telah mengungkapkan kerentanan kritis di infrastruktur Moltbook, mengungkapkan bahwa seluruh basis data platform dapat diakses publik tanpa enkripsi atau penghalang otentikasi. Penemuan ini, pertama kali dilaporkan oleh Odaily, merupakan salah satu insiden keamanan paling serius yang mempengaruhi platform berbasis AI dalam beberapa bulan terakhir.

Bagaimana Peretas Mengidentifikasi Kerentanan

Peretas yang berfokus pada keamanan, Jamieson O’Reilly, secara tidak sengaja menemukan akses database tanpa batas saat menyelidiki platform Moltbook. Alih-alih memanfaatkan kelemahan tersebut untuk keuntungan pribadi, O’Reilly segera berusaha memberi tahu pengembang Moltbook tentang eksposur ini. Insiden ini menegaskan betapa pentingnya keamanan yang ketat, karena kelalaian ini dapat meninggalkan jutaan pengguna dan tokoh terkenal dalam risiko serangan yang ditargetkan.

Penilaian Teknis dari Typer: Kunci API dan Pengabaian Otentikasi

Data yang bocor berisi sesuatu yang jauh lebih berbahaya daripada kredensial pengguna—kunci API yang terbuka yang berfungsi sebagai kunci utama ke sistem platform. Kredensial ini memungkinkan penyerang untuk menyamar sebagai pengguna mana pun, termasuk akun terverifikasi dan agen platform. Celah keamanan ini secara efektif melewati lapisan otentikasi yang biasanya melindungi akun pengguna, mengubah kebocoran data menjadi vektor ancaman aktif.

Pelanggaraan ini mempengaruhi banyak peneliti AI terkemuka dan tokoh industri, terutama Karpathy, yang memiliki 1,9 juta pengikut di X. Dengan akses API yang dikompromikan, aktor jahat dapat memposting konten atas nama akun-akun terkenal ini tanpa terdeteksi, berpotensi menyebarkan disinformasi secara massal.

Skema Serangan yang Dimungkinkan oleh Kerentanan Ini

Kunci API yang terbuka membuka berbagai jalur serangan yang melampaui sekadar pengambilalihan akun:

• Sabotase Keamanan AI: Penipu dapat mempublikasikan pernyataan palsu tentang keamanan AI dan rekomendasi tata kelola atas nama Karpathy atau peneliti terkemuka lainnya, menyesatkan komunitas AI secara luas
• Penipuan Keuangan: Penyerang dapat memanfaatkan akun-akun ini untuk mempromosikan skema cryptocurrency atau penipuan investasi, memanfaatkan kepercayaan yang telah dibangun oleh tokoh-tokoh ini
• Manipulasi Politik: Akun-akun terkenal ini dapat digunakan untuk menyebarkan kampanye disinformasi politik, diperkuat oleh jumlah pengikut mereka

Tindakan Mendesak yang Diperlukan

O’Reilly mendesak tim keamanan, pemelihara platform, dan pemangku kepentingan terkait untuk segera menghubungi pendiri Moltbook dan memperbaiki eksposur ini. Semakin lama basis data tetap dapat diakses publik, semakin besar risiko aktor jahat memanfaatkan kunci API ini untuk serangan terkoordinasi. Insiden ini menjadi pengingat keras bahwa bahkan platform yang berfokus pada inovasi AI memerlukan fondasi keamanan yang kokoh untuk melindungi pengguna dan ekosistem digital secara lebih luas.