Data Siswa Bocor, Vendor IT di Singapura Kena Denda
Ilustrasi: Siswa sekolah di Singapura
Cyberthreat.id - Sebuah vendor IT di Singapura harus membayar denda sebesar 60 ribu dolar Singapura (Rp 619 juta) karena membiarkan terjadinya kebocoran sekitar 47 ribu data pribadi siswa, orang tua dan staf dari berbagai sekolah.
Apa yang Terjadi?
Vendor bernama Learnaholic tersebut menyediakan layanan sistem elektronik, termasuk pengambilan kehadiran dan sistem e-learning ke sekolah-sekolah di Singapura berdasarkan kontrak resmi dengan Departemen Pendidikan disana.
Komisi Perlindungan Data Pribadi (PDPC) Singapura pada Kamis (5 Desember) mengatakan data pribadi sekitar 47.802 siswa, orang tua siswa dan anggota staf dari berbagai sekolah dipaparkan hacker ke publik. Data yang bocor meliputi nama, nomor NRIC, nomor kontak, email dan alamat. Tak hanya itu, data sensitif berupa informasi medis dari sekitar 372 siswa juga dicuri.
Learnaholic mulai mengurus sistem elektronik sekolah di Singapura sejak 2016. Mereka ditugaskan untuk memecahkan masalah dan memperbaiki masalah dengan sistem pengambilan kehadiran sekolah. Learnaholic juga mengambil langkah-langkah, termasuk memodifikasi firewall Intranet sekolah dan menonaktifkan password untuk software yang di-install di salah satu tempat pengambilan kehadiran.
"Tindakan yang diambil Learnaholic memiliki konsekuensi yang signifikan", kata wakil komisaris PDPC Singapura, Yeong Zee Kin, dilansir Channel News Asia, Jumat (6 Desember 2019).
Kesalahan terbesar Learnaholic adalah 'lupa' untuk menutup port dan mengembalikan konfigurasi firewall asli sekolah setelah pemecahan masalah selesai. Kerentanan ini kemudian dieksploitasi oleh para hacker, yang akhirnya memperoleh akses ke email pekerja Learnaholic, yang memiliki data pribadi yang tidak terenkripsi yang dicuri peretas.
Anggota staf Learnaholic memang membantu sekolah untuk mengunggah data pribadi ke sekolah masing-masing mengambil pengambilan dan/atau sistem e-learning. Email yang berisi data sensitif tidak dihapus setelah melakukan unggahan.
Kerentanan ini dibiarkan terbuka selama lebih dari sebulan dari Maret hingga April 2016. Kemudian Februari 2017 pihak Kepolisian Singapura yang sedang menyelidiki kasus serupa di tempat lain juga menemukan pelanggaran data disana.
Eksploitasi Lebih Lanjut?
Dalam memutuskan denda, PDPC Singapura mengatakan Learnaholic menangani "sejumlah besar data pribadi yang berkaitan dengan anak di bawah umur", termasuk data sensitif seperti informasi medis.
"Pengungkapan yang tidak sah atas data seperti itu berpotensi menyebabkan kerusakan yang signifikan," kata Yeong.
Hacker lain dapat "dengan mudah memperoleh akses" ke data pribadi, karena kerentanan dibiarkan tanpa pengawasan selama lebih dari sebulan.
Setelah mengetahui pelanggaran tersebut, Learnaholic mengubah password untuk semua akun email kantornya dan mengaktifkan otentikasi dua faktor (TFA). Langkah ini juga menghapus email dengan data pribadi. Investigasi Kepolisan menyatakan "tidak ada bukti eksploitasi lebih lanjut, penggunaan atau pengungkapan" data pribadi oleh peretas.
