Data Pelanggan Bocor, Orbitz Bayar Denda Rp 1,5 Miliar
Ilustrasi
Cyberthreat.id - Situs pengumpul tarif travelling dan mesin metasearch perjalanan Orbitz.com sepakat membayar sanksi denda sebesar 110 ribu USD atau sekitar Rp 1,5 miliar terkait kasus kebocoran data tahun 2018.
Kesepakatan pembayaran denda dilakukan Orbitz.com dengan Kantor Jaksa Agung Pennsylvania di Amerika Serikat (AS).
Orbitz merupakan anak perusahaan Expedia, salah satu situs travelling terbesar di Amerika Utara, mengumumkan terjadi kebocoran data atau insiden cybersecurity pada Maret 2018. Diperkirakan sebanyak 20.755 data pribadi dan informasi sensitif warga Pennsylvania bocor.
Kepala Kantor Jaksa Agung Pennsylvania Josh Shapiro mengatakan, seorang aktor jahat telah menggunakan Malware untuk menargetkan hingga 880 ribu kartu pembayaran di seluruh dunia dengan mengkompromikan portal pemesanan perjalanan online Orbitz.com.
"Seseorang membobol sistem IT Orbitz dan ia bisa berlibur di tempat yang seharusnya menjadi tempat yang aman bagi pelancong. Ini menunjukkan janji perusahaan untuk menjaga keamanan informasi pelanggan seperti perahu bocor," kata Josh Shapiro dilansir Infosecurity Magazine, Senin (16 Desember 2019).
"Kami bekerja setiap hari untuk melindungi konsumen Pennsylvania. Ketika ada perusahaan salah mengartikannya seperti dalam kasus ini, kami akan mencari keadilan," tegasnya.
Orbitz mengetahui adanya pelanggaran data setelah diberitahukan oleh mitra bisnis pada 2017. Portal penukaran hadiah perjalanan yang diselenggarakan oleh Orbitz Legacy Platform mungkin merupakan titik pembelian sehubungan dengan kecurangan transaksi kartu pembayaran.
Assurance of Voluntary Compliance, yang diajukan di Philadelphia County, menuduh Orbitz melanggar UU Perdagangan dan Hukum Perlindungan Konsumen Pennsylvania. Orbitz membuat pernyataan yang keliru dalam kebijakan privasi tentang pengamanan informasi dan data pribadi pelanggan.
Orbitz dianggap gagal menerapkan kebijakan perusahaan induknya Expedia, terkait keamanan data dan mengabaikan beberapa standar keamanan termasuk Standar Keamanan Data Industri Kartu Pembayaran (Payment Card Industry Data Security Standards/PCI-DSS) pada saat terjadinya pelanggaran.
Kejadian ini membuat Expedia dan Orbitz memperkuat praktik keamanan perusahaan ke depan. Caranya dengan menerapkan program keamanan informasi yang komprehensif di situs web Orbitz, melakukan penilaian risiko tahunan yang komprehensif, dan mengembangkan rencana dan program untuk merancang, menerapkan, dan mengoperasikan pengamanan.
Perusahaan juga sepakat untuk melakukan pemantauan, penebangan, dan pengujian keamanan rutin; meningkatkan kontrol akses dan alat manajemen akun; mengatur ulang dan mengelompokkan jaringannya; dan mematuhi Standar Keamanan PCI-DSS.
