EyeMed Harus Bayar US$600 Ribu karena Kebocoran Data 2020

Cyberthreat.id - EyeMed, sebuah perusahaan kesehatan mata di Amerika Serikat, terpaksa menyetujui merogoh kas perusahaan sebanyak US$600 ribu atau setara Rp8,6 miliar gara-gara pelanggaran data tahun 2020 yang mengungkap informasi pribadi sekitar 2,1 juta konsumen.

Seperti dilansir ZDnet, Kamis,  27 Januari 2022, kesepakatan itu diumumkan pekan ini. Menurut Jaksa Agung New York Letitia James, pelanggaran data mengekspos informasi sensitif, termasuk nama, alamat surat, nomor Jaminan Sosial penuh atau sebagian, tanggal lahir, SIM, ID perawatan kesehatan, diagnosis dan catatan kondisi, dan informasi perawatan.

Dari 2,1 juta orang yang terlibat dalam insiden keamanan tersebut, 98.632 orang adalah penduduk negara bagian New York.

Berbasis di Cincinnati, Ohio, EyeMed Vision Care adalah penyedia jaringan untuk dokter mata independen, ahli kacamata, dokter mata, serta dokter mata dalam pengaturan ritel. Perusahaan ini melayani lebih dari 60 juta pengguna.

Menurut dokumen pengadilan (.PDF), pada atau sekitar 24 Juni 2020, penyerang tak dikenal menggunakan kredensial curian untuk mengakses akun email pendaftaran yang digunakan oleh EyeMed. Selama seminggu, pelaku ancaman dapat melihat korespondensi dan mengakses data konsumen yang sensitif.

Penjahat dunia maya mampu mengekstrak data ini, secara teori, tetapi sebuah perusahaan forensik dunia maya yang disewa untuk menyelidiki insiden tersebut tidak dapat menyimpulkan apakah mereka mencuri informasi konsumen atau tidak.

Pada bulan Juli, penyerang kemudian menggunakan akun email untuk mengirim sekitar 2.000 email phishing ke klien.

"Pesan phishing yang dimaksudkan sebagai permintaan proposal untuk menipu penerima agar memberikan kredensial kepada penyerang," bunyi dokumen penyelesaian.

EyeMed mendapat peringatan adanya penyusupan setelah pesan penipuan dikirim dan mem-boot penyerang dari sistemnya.

Perlu dua bulan lagi sebelum klien yang terkena dampak mulai diberi tahu tentang pelanggaran data -- dan karena ini telah dilakukan secara bergilir, pelanggan masih diberi tahu hingga Januari 2021.

Klien telah ditawari layanan pemantauan kredit, konsultasi penipuan, dan pemulihan pencurian identitas. Anak di bawah umur juga terpengaruh -- dan untuk grup ini, EyeMed juga menawarkan jejak Nomor Jaminan Sosial.

Kantor Kejaksaan Agung meluncurkan penyelidikannya sendiri terhadap pelanggaran data dan menyimpulkan bahwa akun email asli tidak dilindungi dengan otentikasi multi-faktor (MFA).

"Selain itu, EyeMed gagal menerapkan persyaratan manajemen kata sandi yang memadai untuk akun email pendaftaran karena dapat diakses melalui browser web dan berisi sejumlah besar informasi pribadi yang sensitif," kata kantor tersebut.

"Perusahaan juga gagal mempertahankan pencatatan akun email yang memadai, yang membuatnya sulit untuk menyelidiki insiden keamanan," tambah Kejaksaan Agung.

Berdasarkan ketentuan perjanjian, EyeMed akan membayar denda untuk warga negara bagian New York sebesar US$600 ribu. Selain itu, perusahaan harus meningkatkan postur keamanan sibernya dengan mempertahankan protokol manajemen akun yang "wajar", termasuk penerapan MFA, dan informasi sensitif yang dikumpulkan dari konsumen harus dienkripsi.

Jika tidak lagi diperlukan untuk menyimpan informasi konsumen, perusahaan  diperintahkan untuk menghapusnya secara permanen.

Program pengujian penetrasi juga harus diterapkan untuk mengidentifikasi kerentanan atau masalah keamanan lebih lanjut di jaringan EyeMed.

"Warga New York harus memiliki jaminan bahwa informasi kesehatan pribadi mereka akan tetap rahasia dan dilindungi," komentar Jaksa Agung James.

"EyeMed mengkhianati kepercayaan itu dengan gagal mengawasi sistem keamanannya sendiri, yang pada gilirannya membahayakan informasi pribadi jutaan individu. Biarkan perjanjian ini menandakan komitmen berkelanjutan kami untuk meminta pertanggungjawaban perusahaan dan memastikan kepentingan terbaik warga New York."

EyeMed belum membalas permintaan komentar.[]