Terlambat Lapor Pelanggaran Data, Agen Travel Booking.com Didenda Rp8 Miliar
Foto: notesontraveling.com
Cyberthreat.id – Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens/AP) mendenda Booking.com sebesar Rp8 miliar (US$550.000) terkait dengan insiden keamanan siber.
Agen perjalanan online yang berbasis di Belanda itu dianggap telah gagal melaporkan insiden keamanan data dalam jangka waktu yang telah ditentukan.
Menurut AP, insiden itu terjadi pada Desember 2018 ketika penjahat siber menggunakan metode serangan phishing suara (vishing) mengelabui karyawan dari 40 hotel di Uni Emirat Arab agar menyerahkan kredensial login akun Booking.com.
Para penjahat siber kemudian menggunakan akses tersebut untuk mendapatkan informasi lebih dari 4.000 orang yang telah memesan hotel melalui Booking.com. Mereka juga mengakses informasi kartu pembayaran milik hampir 300 orang dan berusaha menipu informasi kartu orang lain dengan menyamar sebagai karyawan Booking.com melalui telepon atau email.
AP mengatakan, para penjahat di balik serangan itu juga mendapatkan detail kartu kredit milik 283 orang, termasuk kode keamanan kartu kredit dalam 97 kasus.
Penjahat juga mencoba mendapatkan detail kartu kredit korban lain dengan menyamar sebagai karyawan Booking.com melalui email atau telepon.
“Pelanggan Booking.com berisiko dirampok di sini. Sekalipun penjahat tidak mencuri informasi kartu kredit tetapi hanya nama seseorang, detail kontak, dan informasi tentang pemesanan hotelnya. Para penipu menggunakan data itu untuk phishing,” ujar Wakil Presiden Otoritas Perlindungan Data Belanda, Monique Verdier seperti dikutip dari Security Week, diakses Kamis (1 April 2021).
Booking.com baru mengetahui tentang pelanggaran data pada 13 Januari 2019, tetapi mereka memberitahukan insiden tersebut ke Otoritas Perlindungan Data pada 7 Februari. Sementara, pelanggan yang terkena dampak diberitahu oleh Booking.com pada 4 Februari. Padahal, insiden tersebut seharusnya dilaporkan dalam 72 jam setelah diketahui.
“Kecepatan itu sangat penting. Pertama-tama untuk korban kebocoran. Setelah laporan seperti itu, kami dapat memerintahkan perusahaan untuk segera memperingatkan pelanggan yang terkena dampak. Untuk mencegah penjahat memiliki waktu berminggu-minggu untuk terus mencoba menipu pelanggan, misalnya,” ujar dia.
Sementara itu, Booking.com mengatakan denda tersebut terkait dengan pemberitahuan yang terlambat dan tidak terkait dengan praktik keamanan perusahaan atau penanganan insiden tersebut.
“Sejumlah kecil hotel secara tidak sengaja memberikan detail login akun Booking.com mereka kepada scammer online, tetapi tidak ada kompromi terhadap kode atau database yang mendukung platform Booking.com,” ujar perusahaan kepada Security Week.
“Setelah menerima laporan pertama tentang aktivitas yang mencurigakan, kami mulai bekerja untuk memahami dan menyelesaikan masalah, tetapi sayangnya tidak berhasil meningkatkan masalah secepat yang kami inginkan secara internal,” Booking.com menambahkan.
Selai itu, perusahaan mengatakan, telah mengambil langkah tambahan untuk meningkatkan kesadaran dan memberikan pelatihan kepada mitra dan karyawan tentang langkah-langkah privasi penting dan proses keamanan umum.
“Perlindungan dan keamanan data pribadi adalah dan akan tetap menjadi prioritas utama di Booking.com.”[]
Redaktur: Andi Nugroho
