SINGAPURA: Layanan pengiriman bahan makanan RedMart didenda S$72.000 oleh pengawas privasi Singapura karena gagal menerapkan perlindungan yang wajar untuk melindungi data pribadi yang dimilikinya.
Pada bulan Oktober 2020, informasi pribadi akun pengguna RedMart ditemukan ditawarkan untuk dijual di forum online. Informasi ini, dicuri dari database pelanggan, termasuk nama, kata sandi terenkripsi, nomor telepon dan sebagian nomor kartu kredit.
Mengonfirmasi pelanggaran data pada bulan itu, platform e-commerce Lazada, pemilik RedMart, mengatakan informasi yang dicuri berasal dari database khusus RedMart yang belum diperbarui sejak Maret 2019 dan bukan milik database Lazada mana pun.
Komisi Perlindungan Data Pribadi (PDPC) Singapura mengatakan pada Senin (19 Desember) bahwa mereka pertama kali diberitahu tentang insiden tersebut pada 29 Oktober 2020, dan kemudian memulai penyelidikan.
Dalam keputusan tertulis yang merinci fakta-fakta kasus tersebut, penyelidikan dan pertimbangannya, disebutkan bahwa RedMart bermaksud untuk mengintegrasikan platformnya dengan Lazada setelah diakuisisi pada tahun 2016. Mengingat besarnya waktu dan sumber daya yang dibutuhkan, integrasi ini – yang melibatkan desain ulang dan migrasi database dan aplikasi yang relevan ke infrastruktur cloud milik Alibaba Group, pemilik Lazada – dilakukan secara bertahap.
Meskipun situs web dan aplikasi seluler RedMart yang berhubungan dengan pelanggan telah dimigrasi dan berhenti beroperasi pada bulan Maret 2019, migrasi sistem back-end RedMart belum selesai dan tetap berada di penyimpanan cloud yang disediakan oleh Amazon Web Services (AWS).
Itu terhubung ke database yang berisi informasi pribadi pelanggan dan penjual. Basis data tidak dienkripsi dan tidak memiliki persyaratan otentikasi kata sandi untuk akses, kata PDPC.
Investigasi pengawas menunjukkan bahwa pelaku ancaman tak dikenal mengeksfiltrasi database pada bulan September 2020 setelah mendapatkan akses tidak sah ke cloud RedMart di AWS melalui akun staf yang disusupi.
Selanjutnya, database – yang berisi nama, alamat email, dan data pribadi lainnya dari sekitar 898.791 individu – ditemukan di forum online untuk dijual.
Meskipun database yang terkena dampak ditempatkan di balik “berbagai tingkat kontrol keamanan”, seperti penggunaan beberapa kunci akses, PDPC mencatat bahwa kompleksitas dalam arsitektur jaringan organisasi “tidak menjembatani celah dalam pengaturan keamanannya”.
“Pada setiap tingkat pertahanan, sistem organisasi menunjukkan kerentanan yang jelas yang perlu diatasi,” tulis keputusan tersebut.
Hal ini termasuk bagaimana perusahaan gagal menerapkan kontrol akses yang wajar pada akun pengguna dan kunci akses karyawannya yang memungkinkan akses dengan hak istimewa tinggi ke bagian-bagian sistemnya, serta menerapkan persyaratan otentikasi terpisah untuk database yang terkena dampak.
Menyusul insiden tersebut, RedMart dan Lazada menerapkan beberapa langkah perbaikan, seperti penghapusan akun pengguna yang disusupi dan logout paksa serta pengaturan ulang kata sandi untuk akun semua pelanggan dan penjual yang terkena dampak.
Perusahaan juga telah mengambil langkah-langkah untuk mencegah terulangnya insiden serupa dengan menerapkan otentikasi basis data untuk semua basis data yang berisi data pribadi dan membatasi akses ke basis data sensitif.