5,9 juta pelanggan situs pemesanan hotel RedDoorz bocor dalam pelanggaran data terbesar Spore, Berita Teknologi & Berita Utama
Tech

5,9 juta pelanggan situs pemesanan hotel RedDoorz bocor dalam pelanggaran data terbesar Spore, Berita Teknologi & Berita Utama

SINGAPURA – Data pribadi hampir 5,9 juta pelanggan Singapura dan Asia Tenggara dari situs pemesanan hotel RedDoorz telah bocor, yang merupakan pelanggaran data terbesar di Singapura.

Komisi Perlindungan Data Pribadi (PDPC) telah mendenda perusahaan lokal Commeasure, yang mengoperasikan situs web, $74.000.

Ini jauh lebih rendah daripada denda gabungan $ 1 juta untuk pelanggaran data SingHealth 2018 yang memengaruhi 1,5 juta orang karena Komisi mengatakan telah mempertimbangkan kesulitan pada sektor yang disebabkan oleh pandemi Covid-19.

“Dalam memutuskan besaran sanksi denda yang akan dikenakan, kami juga menilai organisasi yang bergerak di industri perhotelan itu sangat terdampak pandemi Covid-19,” kata PDPC dalam putusan yang dikeluarkan Kamis (11/11) lalu. ).

Denda maksimum untuk pelanggaran data adalah $ 1 juta sekarang di bawah Undang-Undang Perlindungan Data Pribadi yang mulai berlaku pada tahun 2013.

Tetapi perusahaan dapat segera didenda lebih banyak – hingga 10 persen dari omset tahunan mereka di Singapura, atau $ 1 juta, mana yang lebih tinggi. Denda yang lebih tinggi dijadwalkan berlaku setidaknya 12 bulan mulai 1 Februari tahun ini.

Data yang terpengaruh dalam insiden Commeasure termasuk nama pelanggan, nomor kontak, alamat email, tanggal lahir, kata sandi terenkripsi untuk mengakses akun RedDoorz pelanggan dan informasi pemesanan.

Peretas tidak mengakses atau mengunduh nomor kartu kredit bertopeng pelanggan.

Karena kata sandi pelanggan dienkripsi, ini mengurangi kemungkinan akun RedDoorz mereka diretas.

Namun, dengan rincian pribadi lainnya yang dilanggar, penjahat cyber mungkin dapat berpura-pura sebagai korban dan mencoba mengambil alih akun online lain yang menggunakan rincian serupa, mengikuti apa yang dikatakan pakar keamanan dunia maya dalam insiden lain.

Ini juga berarti bahwa para korban dapat menjadi sasaran lebih banyak pesan spam dan upaya phishing.

Data yang dicuri itu dijual di forum peretas sebelum dihapus, lapor The Business Times tahun lalu.

RedDoorz mengatakan pada saat itu bahwa sebagian besar data yang dikompromikan berasal dari pasar terbesar platform pemesanan, Indonesia. Kurang dari 1 persen database, atau sekitar 200.000 catatan pelanggan, berasal dari Singapura.

Commeasure mengetahui tentang pelanggaran tersebut pada 19 September tahun lalu, setelah sebuah perusahaan keamanan siber Amerika memberi tahu perusahaan tersebut. PDPC diberitahu pada 25 September tahun lalu.

Peretas kemungkinan mengakses database perusahaan yang dihosting di database cloud Amazon setelah mendapatkan kunci akses Amazon Web Services.

Kunci ini disematkan dalam paket aplikasi Android (APK) yang dibuat oleh Commeasure pada tahun 2015 dan tersedia untuk diunduh secara publik dari Google Play store.

Paket semacam itu digunakan oleh sistem operasi Android Google untuk mendistribusikan dan menginstal aplikasi seluler.

Comeasure salah memberi label kunci akses di APK sebagai “kunci uji”. APK terakhir diperbarui pada 2018 dan juga dianggap “tidak berfungsi”. Meski begitu, masih bisa diunduh dari Google Play dan baru dihapus setelah pelanggaran data ditemukan tahun lalu.

Karena APK dianggap tidak berfungsi, ini berarti bahwa ketika Commeasure melibatkan perusahaan keamanan siber untuk melakukan tinjauan dan pengujian keamanan dari September hingga Desember 2019, APK ditinggalkan.

Alat keamanan yang dapat mencegah peretas mendapatkan kunci akses juga tidak digunakan pada APK karena dianggap tidak berfungsi.

Semua pengembang, kecuali salah satu pendiri organisasi dan chief technology officer, telah meninggalkan perusahaan.

PDPC mengatakan bahwa jika perusahaan memeriksa APK atau kunci akses ini, pelanggaran data dapat dicegah.

“Kegagalan organisasi untuk memasukkan APK yang terpengaruh dan … kunci akses dalam lingkup tinjauan keamanan muncul karena kelalaian organisasi untuk memasukkannya ke dalam inventaris aset TI dalam produksi,” kata komisi tersebut.

PDPC menambahkan bahwa tidak puas bahwa tinjauan keamanan TI yang dilakukan Commeasure cukup ketat dan memenuhi standar di bawah hukum.

Dalam mencapai denda $74.000, komisi mengatakan pihaknya juga mempertimbangkan faktor-faktor seperti tindakan yang diambil Commeasure untuk mengatasi insiden tersebut, seperti hanya mengizinkan alamat Protokol Internet yang masuk daftar putih untuk mengakses database langsungnya dan memiliki otentikasi dua faktor untuk semua alat. dan akun yang digunakan oleh pengembang.

PDPC juga mengatakan bahwa perusahaan melakukan tinjauan keamanan berkala, meskipun upaya ini sia-sia karena APK yang terpengaruh tidak disertakan.


Posted By : togel hongkonģ