Internet Sehat : Singapore’s Personal Data Protection Commission (PDPC) (Komisi Perlindungan Data Pribadi Singapura) telah mengeluarkan denda sebesar SG$74.000 atau setara dengan $54.456 kepada perusahaan perjalanan Commeasure yang mengoperasikan situs web pemesanan perjalanan bernama RedDoorz. RedDoorz sebelumnya mengekspos 5,9 juta data pelanggan, sebuah pelanggaran data terbesar yang ditangani oleh Komisi ini sejak awal .

PDPC mengumumkan hukuman karena Commeasure gagal menerapkan pengaturan keamanan yang wajar untuk mencegah akses tidak sah dan eksfiltrasi data pribadi pelanggan yang di-hosting di basis data cloud.

RedDoorz memulai biisnisnya di Indonesia sebelum memindahkan operasinya ke Singapura di mana RedDoorz mengumpulkan pemesanan hotel murah di kota-kota Asia Tenggara tertentu. Pengguna memilih hotel hemat dari RedDoorz berdasarkan foto, area, dan harga, tidak selalu mengetahui nama atau lokasi sebenarnya dari hotel tersebut . Ketika pelancong tiba, pengalaman kamar hotel diganti namanya menjadi RedDoorz dan dilengkapi dengan layanan tertentu yang dijamin seperti WiFi, TV, dan air minum.

Commeasure mengetahui ada pelanggaran data pelanggan RedDoorz pada September 2020, ketika sebuah perusahaan keamanan siber yang berbasis di Atlanta memberi tahu perusahaan induk tentang peretasan dan menawarkan layanan perbaikan. Dalam seminggu, perusahaan teknologi perjalanan tersebut memberi tahu PDPC.

Data yang dicuri termasuk nama, nomor kontak, alamat email, tanggal lahir, kata sandi akun RedDoorz terenkripsi, dan informasi pemesanan. Menurut putusan PDPC, database tidak menyertakan nomor kartu kredit. Hasil curian itu disiapkan untuk dijual di forum peretas.

Kesalahan langkah yang membuat data dicuri adalah karena kunci akses AWS disematkan ke dalam paket aplikasi Android (APK) yang tersedia secara publik untuk diunduh dari Google Play Store. APK, yang dibuat pada tahun 2015 dan terakhir diperbarui pada Januari 2018, salah ditandai sebagai pengetesan oleh pengembang pada saat itu. Hal tersebut tetap terlihat meskipun dianggap tidak berfungsi sampai perusahaan diberitahu tentang pelanggaran pada tahun 2020.

Dengan kunci akses AWS di tangan, penjahat dapat memperoleh akses dan mengekstrak catatan pelanggan yang di-hosting di database cloud Amazon RDS. RedDoorz memang melakukan upaya untuk melindungi data, misalnya dengan menyewa perusahaan keamanan siber dan menggunakan alat Java obfuscation Proguard mencegah rekayasa balik APK, tetapi semuanya sia-sia karena file yang relevan tidak pernah dievaluasi.

Commeasure mengatakan kepada PDPC bahwa kegagalan untuk menerapkan proses yang cukup kuat untuk mengelola inventaris kunci akses infrastrukturnya disebabkan oleh pergantian karyawan yang tinggi. Alasan tersebut tidak diterima dengan baik oleh PDPC.

Sumber : The Register