SINGAPURA: MyRepublic Singapura telah diperintahkan untuk membayar denda finansial sebesar S$60.000 karena gagal melindungi data pribadi hampir 80.000 pelanggan dalam insiden dunia maya tahun lalu.
Komisi Perlindungan Data Pribadi (PDPC) menerbitkan keputusannya pada Kamis (15 September) yang berisi temuan penyelidikannya atas insiden tersebut.
Pelanggaran data terjadi pada 29 Agustus 2021. Penyedia telekomunikasi lokal MyRepublic menerima email dari aktor eksternal yang mengancam akan mempublikasikan data pelanggan yang dicuri kecuali uang tebusan dibayarkan.
MyRepublic memberi tahu PDPC tentang serangan tersebut pada 1 Sep 2021 dan mengumumkannya secara publik pada 10 Sep 2021.
Data pribadi milik lebih dari 75.000 warga Singapura dan penduduk tetap dicuri selama pembobolan, dalam bentuk salinan pindaian NRIC dan kartu izin kerja di kedua sisi.
Pemindaian dokumen alamat tempat tinggal milik lebih dari 4.300 orang asing, dan formulir lebih dari 3.600 pelanggan yang mentransfer layanan seluler, yang berisi nama lengkap dan nomor ponsel mereka, juga dibobol.
Pada saat kejadian terjadi pada bulan Agustus 2021, MyRepublic sedang menerima pesanan pelanggan untuk layanan seluler melalui portal pemesanan selulernya, menurut temuan PDPC.
Portal tersebut menyimpan verifikasi identitas pelanggan dan dokumen porting nomor ponsel dalam “ember” di penyimpanan cloud yang disediakan oleh Amazon Web Services (AWS).
Bucket dapat diakses publik, namun dilindungi oleh kunci akses. Investigasi menemukan bahwa aktor eksternal menggunakan access key untuk mengakses bucket.
“Untungnya, access key yang disusupi tidak dapat digunakan oleh aktor eksternal untuk mengakses akun, sistem, atau bucket AWS (MyRepublic) lainnya,” kata PDPC.
“Namun, sejumlah besar data diunduh dari keranjang sebelum dihapus.”
PDPC mencatat bahwa MyRepublic mengontrol sejumlah besar data pribadi sensitif dan seharusnya menerapkan langkah-langkah keamanan yang lebih kuat untuk melindunginya. Ini mengidentifikasi beberapa kegagalan perusahaan telekomunikasi untuk melindungi kunci akses.
Menurut MyRepublic, kunci akses bucket dapat ditemukan di halaman web yang dapat diakses publik yang menampilkan informasi teknis yang digunakan oleh pemrogram, yang dikenal sebagai “info PHP”.
“Ini adalah kerentanan yang signifikan karena siapa pun yang mengetahui atau dapat menebak URL php-info dapat memperoleh kunci akses dan menggunakannya untuk mengakses data pelanggan di dalam keranjang,” kata PDPC.
Komisi mencatat bahwa MyRepublic menetapkan bahwa ini adalah cara yang paling mungkin dilakukan oleh aktor eksternal untuk memperoleh kunci akses.
Daripada membiarkan kunci akses dapat diakses publik, MyRepublic seharusnya menonaktifkan fitur “info PHP” atau memindahkan kunci akses ke file yang hanya tersedia untuk individu yang berwenang, kata PDPC.
Menurut MyRepublic, kunci akses juga tertanam dalam kode sumber portal pemesanan seluler, yang tersedia untuk semua pengembang telekomunikasi.
Aktor eksternal bisa saja memperoleh kunci akses dengan cara ini, atau pengembang bisa saja secara tidak sengaja mengungkapkannya, kata PDPC.
Komisi juga mengatakan kunci akses “tertangkap di depan mata” dalam log aplikasi pemesanan seluler yang tersedia bagi karyawan, termasuk pengembang dan insinyur eksternal, yang tidak memerlukan informasi tersebut.
Selain itu, mengingat tingginya volume dan sensitivitas data pelanggan yang disimpan dalam bucket, data tersebut seharusnya tidak tersedia untuk umum, tambah PDPC.
Dalam memutuskan denda, komisi mengatakan bahwa MyRepublic telah mengambil tindakan perbaikan yang cepat dan efektif, bekerja sama dalam penyelidikan dan secara sukarela menerima tanggung jawab.
Tindakan perbaikan termasuk mengganti access key, menghapus file konfigurasi lingkungan yang mengekspos access key, dan membatasi akses ke bucket ke alamat IP tertentu.
MyRepublic telah memberi tahu pelanggan yang terkena dampak dan merekomendasikan tindakan untuk mengurangi risiko penipuan identitas dan rekayasa sosial, kata PDPC. Ia juga menawarkan layanan pemantauan kredit gratis selama enam bulan kepada pelanggan yang terkena dampak.
Perusahaan telekomunikasi tersebut juga melakukan pemantauan web gelap selama sebulan hingga 3 Oktober 2021 untuk memverifikasi apakah data yang dicuri telah dipublikasikan.