Di Indonesia Menguap dalam Senyap, di Singapura RedDoorz Didenda Rp1 Miliar

Cyberthreat.id - Komisi Perlindungan Data Pribadi (PDPC) Singapura telah mendenda perusahaan lokal Commeasure, yang mengoperasikan situs web RedDoorz, sejumlah US$74.000 (setara Rp1 miliar). Denda ini terkait kebocoran data pribadi hampir 5,9 juta pelanggan situs pemesanan hotel RedDoorz asal Singapura dan Asia Tenggara.

Dalam pengumuman di situs resminya, PDPC menyebut kebocoran data pengguna RedDoorz itu sebagai pelanggaran data terbesar di Singapura.

Menurut The Straits Times Singapura, denda yang dijatuhkan kepada Commeasure ini jauh lebih rendah daripada denda gabungan US$ 1 juta yang dikenakan pada SingHealth dan Sistem Informasi Kesehatan Terpadu untuk pelanggaran data 2018 yang memengaruhi 1,5 juta orang.

Komisi mengatakan telah mempertimbangkan kesulitan pada sektor perhotelan yang disebabkan oleh pandemi Covid-19.

"Dalam memutuskan besaran sanksi denda yang dikenakan, kami juga menilai organisasi yang bergerak di industri perhotelan itu terkena dampak parah akibat pandemi Covid-19," kata PDPC dalam putusan yang dikeluarkan Kamis lalu (11 November 2021).

"Ini adalah pelanggaran data terbesar yang terjadi sejak Undang-Undang Perlindungan Data Pribadi mulai berlaku," tambah PDPC.

Sebagian Besar Data Pengguna Indonesia
RedDoorz mengatakan tahun lalu bahwa sebagian besar data yang dikompromikan berasal dari pasar terbesar platform pemesanan, Indonesia. Sementara warga Singapura yang terdampak sekitar 9.000 orang. Pelanggan perusahaan semuanya berasal dari Asia Tenggara.

Meski sebagian besar data yang bocor milik pengguna Indonesia, sejauh ini belum ada denda apa pun dari Pemerintah Indonesia terhadap kebocoran data itu. Kabar terakhir, pada 10 November 2020, Kementerian Kominfo RI mengatakan telah menyurati RedDoorz mempertanyakan soal kebocoran data itu. Setelah itu, seperti sejumlah kasus kebocoran data lainnya, menguap dalam senyap. (Lihat: Kominfo Surati Cermati.com dan RedDoorz Pertanyakan Bocornya Data Pengguna)

Aturan Denda Singapura

Di Singapura, denda maksimum untuk pelanggaran data adalah US$ 1 juta, berdasarkan undang-undang, yang mulai berlaku pada 2013.

Tetapi perusahaan dapat segera didenda lebih banyak - hingga 10 persen dari omset tahunan mereka di Singapura atau US$ 1 juta, mana yang lebih tinggi. Denda yang lebih tinggi dijadwalkan berlaku setidaknya 12 bulan mulai 1 Februari tahun ini.

Data yang terpengaruh dalam insiden Commeasure termasuk nama pelanggan, nomor kontak, alRedDoorz Alami Kebocoran Data, Pelanggan Diminta Ganti Passwordamat email, tanggal lahir, kata sandi terenkripsi ke akun RedDoorz-nya, dan informasi pemesanan.

Karena kata sandi pelanggan dienkripsi, peretas tidak akan dapat menggunakannya kecuali mereka menemukan cara untuk memecahkan kode kata sandi tersebut. Hal ini mengurangi kemungkinan penjahat dapat menggunakan kata sandi untuk meretas akun RedDoorz korban.

Peretas tidak mengakses atau mengunduh nomor kartu kredit pelanggan yang disamarkan. Namun, dengan rincian pribadi lainnya yang dilanggar, penjahat cyber mungkin dapat berpura-pura sebagai korban dan mencoba mengambil alih akun online lain yang menggunakan data serupa, mengikuti apa yang dikatakan pakar keamanan dunia maya dalam insiden lain.

Ini juga berarti bahwa para korban dapat menjadi sasaran lebih banyak pesan spam dan upaya phishing.

Data yang dicuri itu dijual di forum peretas seharga US$2.200 (setara Rp28 juta) sebelum dihapus.  (Lihat: Data 5,8 Juta Akun Pelanggan RedDoorz Dijual Rp 28 Juta di Forum Peretas).

Commeasure mengetahui tentang pelanggaran tersebut pada 19 September tahun lalu, setelah sebuah perusahaan keamanan siber Amerika memberi tahu perusahaan tersebut. PDPC diberitahu pada 25 September 2020.

Peretas kemungkinan telah mengakses database perusahaan yang dihosting di database cloud Amazon setelah mendapatkan kunci akses Amazon Web Services.

Kunci ini disematkan dalam paket aplikasi Android (APK) yang dibuat oleh Commeasure pada tahun 2015 dan tersedia untuk diunduh secara publik dari Google Play store.

Paket ini digunakan oleh sistem operasi Google Android untuk mendistribusikan dan menginstal aplikasi seluler. APK yang dimaksud di sini adalah untuk menginstal aplikasi RedDoorz.

Langkah Commeasure untuk menyertakan kunci akses dalam APK bertentangan dengan saran Amazon Web Service untuk tidak menyematkan kunci akses langsung ke dalam kode.

Comeasure salah memberi label kunci akses di APK sebagai "kunci uji". APK juga akhirnya dianggap sebagai "tidak berfungsi" oleh perusahaan. Meski begitu, itu masih bisa diunduh dari Google Play dan baru dihapus setelah pelanggaran data ditemukan.

Karena versi APK lama dianggap tidak berfungsi lagi, itu ditinggalkan ketika Commeasure melibatkan perusahaan keamanan siber untuk meninjau dan menguji keamanan dari September hingga Desember 2019.

Alat keamanan yang dapat mencegah peretas mendapatkan kunci akses juga tidak digunakan pada APK karena dianggap tidak berfungsi.

Semua pengembang, kecuali salah satu pendiri organisasi dan Chief Technology Officer, telah meninggalkan perusahaan.

PDPC mengatakan bahwa jika perusahaan memeriksa APK atau kunci akses ini, pelanggaran data dapat dicegah.

"Kegagalan organisasi untuk memasukkan APK yang terpengaruh dan ... kunci akses dalam lingkup tinjauan keamanan muncul karena kelalaian organisasi untuk memasukkannya ke dalam inventaris aset TI dalam produksi," kata komisi tersebut.

PDPC juga menyatakan tidak puas atas hasil tinjauan keamanan TI oleh Commeasure yang  menyebut telah memenuhi standar yang berlaku.

Dalam memutuskan denda US$74.000, komisi mengatakan pihaknya juga mempertimbangkan faktor-faktor seperti tindakan yang diambil Commeasure untuk mengatasi insiden tersebut. Ini termasuk hanya mengizinkan alamat Protokol Internet yang terdaftar untuk mengakses database langsungnya dan memiliki otentikasi dua faktor untuk semua alat dan akun yang digunakan oleh pengembang.

PDPC juga mengatakan meskipun perusahaan melakukan tinjauan keamanan berkala, upaya ini sia-sia karena APK yang terpengaruh tidak disertakan.

Commeasure memberi tahu pelanggan yang terkena dampak pada 26 September tahun lalu tentang pelanggaran tersebut dan menyarankan mereka untuk mengubah kata sandi akun RedDoorz mereka sebagai tindakan pencegahan dan menghindari penggunaan kata sandi yang sama di platform online lainnya. (Lihat: RedDoorz Alami Kebocoran Data, Pelanggan Diminta Ganti Password).[]