Komisi Perlindungan Data Pribadi (PDPC) Singapura melaporkan ada 5,9 juta data pelanggan RedDoorz di Singapura dan Asia Tenggara yang bocor. Kebocoran data pelanggan RedDoorz ini disebut sebagai pelanggaran data terbesar di Singapura. Oleh sebab itu, PDPC telah memberikan sanksi sebesar 74.000 dolar kepada Commeasure selaku perusahaan lokal yang mengoperasikan situs website.
Denda yang diberikan oleh PDPC kepada Commeasure lebih rendah daripada denda gabungan sebesar 1 juta dolar yang diberikan pada SingHealth dan Sistem Informasi Kesehatan Terpadu. Dua situs ini mengalami kebocoran data pada 2018 yang mempengaruhi 1,8 juta orang.
“Dalam memutuskan besaran denda pada Commeasure, kami menilai organisasi yang bergerak di bidang perhotelan itu sedang terkena dampak parah akibat Covid-19,” ujar PDPC.
Selanjutnya, diketahui data pelanggan RedDoorz yang bocor meliputi nama pelanggar, nomor kontak, alamat email, tanggal lahir, kata sandi terenkripsi ke akun RedDoorz, dan informasi pemesanan. Namun karena kata sandi dienkripsi, maka peretas tidak akan dapat menggunakannya kecuali menemukan cara untuk memecahkan kata sandi tersebut.
RedDoorz sendiri tahun lalu sempat mengatakan bahwa sebagian besar data yang dikompromikan berasal dari data masyarakat Indonesia karena pelanggan perusahaan semuanya berasal dari Asia Tenggara. Kebocoran data ini juga mempengaruhi 9.000 orang yang berasal dari Singapura.
Bagaimana Data Pelanggan RedDoorz Dapat Dicuri?
Kebocoran data pelanggan RedDoorz ini pertama diketahui oleh Commeasure pada 19 September 2021. Kemudian Commeasure melaporkannya kepada PDPC pada 25 September 2021. Dugaan sementara, peretas mengakses database perusahaan yang dihosting di database cloud Amazone setelah mendapatkan kunci akses Amazone Web Service.
Kunci akses ini disematkan pada pake aplikasi Android (APK) yang dibuat Commeasure pada tahun 2015 dan tersedia dan dapat diunduh secara publik dari Google Play Store. Kesalahan Commeasure adalah menyertakan kunci akses dalam APK, dimana hal tersebut bertentangan dengan saran Amazone Web Service.
Commeasure juga salah memberi label kunci akses di APK sebagai kunci uji. APK akhirnya dianggap tidak berfungsi oleh perusahaan. Namun masih bisa diunduh dari Google Play Store dan baru dihapus ketika pelanggaran data ditemukan. APK dianggap mati dan akhirnya ditinggalkan oleh Commeasure.
“Jika perusahaan memeriksa APK atau kunci akses ini, sebenarnya pelanggaran data dapat dicegah. Pelanggaran terjadi karena kegagalan organisasi memasukkan APK yang terpengaruh dan kunci akses dalam lingkup tinjauan keamanan dan kelalaian organisasi untuk memasukkannya ke dalam inventaris aset TI dalam produksi,” ujar PDPC.
Kebocoran Data Pelanggan RedDoorz Pada Tahun 2018
Sebelumnya pada tahun 2018, ada 5,8 juta data pelanggan RedDoorz yang bocor dan dijual di situs dark web. Data pelanggan mencakup nama, password, alamat email, nomor telepon, jenis kelamin, dan foto profil. Data-data tersebut dijual dengan harga 2.000 US dollar atau setara 28 juta rupiah.
Kasus ini menimpa pelanggan RedDoorz di Indonesia dan diungkap pertama kali oleh pendiri Ethical Hacker Indonesia, Teguh Aprianto. Kasus kebocoran data tersebut juga diakui oleh pihak RedDoorz sendiri. Pihak RedDoorz juga mengirimkan pemberitahuan melalui surat elektronik kepada pelanggan.
“Kami meyakini bahwa data telah disusupi. Namun data terkait informasi keuangan pelanggan masih aman. Kami menyarankan pelanggan tidak menggunakan password yang sama pada platform digital lainnya, serta mengganti password jika perlu sebagai tindak pencegahan,” ujar RedDoorz.
Penulis: Serafina Indah Chrisanti
Editor: Sebastian Simbolon
