Jakarta | EGINDO Komisi Perlindungan Data Pribadi Singapura, atau PDPC, telah mendenda Commeasure Pte. Ltd., yang mengoperasikan platform pemesanan hotel RedDoorz sebesar S$74.000 – atau US$54.637 – karena membahayakan 5,9 juta data pelanggan.
Denda RedDoorz lebih rendah S$1 juta atau US$738.000 dibandingkan denda tertinggi atas hukuman atas pelanggaran keamanan data pribadi yang pernah dikenakan PDPC pada IHiS dan SingHealth. Pelanggaran SingHealth mempengaruhi 1,5 juta warga Singapura atau seperempat jumlah korban pelanggaran data RedDoorz.
Dalam penilaiannya, PDPC mengatakan memutuskan hukuman finansial setelah mempertimbangkan bahwa RedDoorz beroperasi di sektor perhotelan, yang sangat terpengaruh oleh pandemi COVID-19.
Pelanggaran data pertama kali terungkap pada 19 September 2020, ketika sebuah perusahaan keamanan siber AS yang tidak disebutkan namanya mendekati RedDoorz dengan tawaran untuk menahan pelanggaran dan mengambil data dari para peretas, kata PDPC. Komisi tidak merinci bagaimana perusahaan keamanan siber mengetahui data yang bocor, tetapi laporan Business Times mengatakan bahwa data “curian” dari RedDoorz dan satu situs web e-niaga lainnya muncul di forum peretas bawah tanah.
Setelah menganalisis klaim tersebut, tim Commeasures IT menemukan bahwa database RedDoorz dari catatan pelanggan yang dihosting di database cloud Amazon Relational Database Service telah disusupi, kata PDPC. Kunci akses Amazon Web Services dari basis data (database) disematkan dalam paket aplikasi Android dan tersedia untuk umum untuk diunduh di Google Play Store. Ini murni kesalahan dari pembuatan aplikasi tersebut dimana seharusnya data berupa kata kunci untuk mengakses basis data tidak boleh diketahui oleh orang lain.
PDPC mengatakan telah diberitahu tentang insiden tersebut pada 25 September 2020, sesuai dengan persyaratan pemberitahuan pelanggaran.
Basis data yang terpengaruh berisi 5.892.843 catatan pelanggan, dan pelaku dapat dengan mudah mengekstrak “nama pelanggan, nomor kontak, alamat email, tanggal lahir, kata sandi hash [dienkripsi dengan algoritma hash BCrypt satu arah] yang digunakan oleh pelanggan untuk mengakses akun RedDoorz mereka, dan informasi pemesanan mereka,” kata PDPC.
APK yang terpengaruh dibuat pada tahun 2015, dan kunci akses AWS secara keliru disematkan ke dalamnya – ditandai sebagai kunci “pengujian” oleh pengembang. Amazon “dengan jelas menyarankan pengguna untuk melindungi kunci akses karena “siapa pun yang memiliki kunci akses untuk pengguna akun administrator / root AWS Anda memiliki akses tidak terbatas ke semua sumber daya di akun AWS Anda.” AWS juga memperingatkan pengguna untuk tidak “menyematkan kunci akses langsung ke dalam kode, “ucap PDPC.
RedDoorz tidak mengikutsertakan aplikasi android ini dalam audit keamanan yang pernah dilakukan antara September dan Desember 2019 oleh perusahaan keamanan siber eksternal. Perusahaan memang mengadakan tinjauan keamanan dan pengujian penetrasi, tetapi karena APK dianggap tidak berfungsi, “itu tidak dalam lingkup tinjauan keamanan atau pengujian penetrasi,” kata PDPC.
Komisi mengatakan satu-satunya hal positif dari insiden pelanggaran data adalah bahwa pelaku ancaman di balik serangan itu tidak dapat berkompromi dan mengunduh nomor kartu kredit pelanggan, yang dipelajari dari laporan investigasi RedDoorz.
PDPC mengatakan langkah-langkah keamanan RedDoorz tidak memuaskan berdasarkan pedoman bagian 24 dalam Undang-Undang Perlindungan Data Pribadi 2012, yang mengharuskan organisasi untuk “melindungi data pribadi yang dimilikinya atau di bawah kendalinya dengan membuat pengaturan keamanan yang wajar untuk mencegah akses yang tidak sah. , pengumpulan, penggunaan, pengungkapan, penyalinan, modifikasi, pembuangan, atau risiko serupa.” Untuk keamanannya yang tidak memuaskan, PDPC menemukan RedDoorz bertanggung jawab untuk membayar denda dan menyatakan bahwa “Insiden itu dapat dicegah.”
Setelah penemuan tersebut, RedDoorz menghapus APK yang terpengaruh dari Google Play Store dan membuat kunci akses dan kredensial baru.
PDPC memberikan rekomendasi untuk menghindari insiden di masa depan diantaranya :
- Melarang pengembang untuk menyematkan kode akses di basis kode apa pun dengan meningkatkan kebijakan kredensialnya;
- Menata ulang infrastruktur TI sehingga basis data pelanggan dari internet dapat ditempatkan secara terpisah dengan hanya alamat IP yang diizinkan sekarang memungkinkan koneksi ke basis data “langsung”;
- Memperkenalkan lingkungan produksi dan staging terpisah untuk semua layanan AWS, mengaktifkan autentikasi dua faktor untuk semua alat dan akun yang digunakan oleh pengembang, dan menerapkan kontrol berbasis VPN untuk mengakses sumber daya infrastruktur;
- Siapkan firewall aplikasi web dan peringatan yang dikonfigurasi untuk menangkap kueri dump mySQL;
- Menunjuk perusahaan keamanan siber yang tidak disebutkan namanya untuk melakukan penilaian kerentanan dan pengujian penetrasi semua aplikasi yang ada.
- RedDoorz tidak menanggapi permintaan Grup Keamanan Media Informasi untuk informasi tambahan tentang upaya pencegahan dan mitigasi\
PDPC berharap kedepannya, pelanggaran atau kelalaian seperti ini tidak terulang lagi.
AW / Databreach