Belakangan ini, kasus pencurian data memiliki tren yang semakin meningkat. Sejak tahun 2013 hingga saat ini, kasus pencurian data telah mencapai 9 milyar akun, dengan kejadian terbesar pada insiden pelanggaran data di Yahoo tahun lalu.
Setiap hari tercatat ada kasus pencurian data atau kehilangan data sensitif sekitar 5 juta akun. Kasus pelanggaran data ini terjadi mulai dari tingkat personal dan diseluruh sektor bisnis, termasuk pemerintahan.
Di tahun 2017, terdapat 1.9 milyar kasus pencurian dan kehilangan data sensitif melalui 918 insiden. Jika dibandingkan dengan tahun 2016 di periode yang sama, kasus pelanggaran data di tahun 2017 terdapat kenaikan 13%.
Update tahu 2019:
Kasus pencurian data terus terjadi. Setelah equifax, capital one dengan puluhan juta nasabah terpapar datanya. Ini membutuhkan keseriusan untuk mengatasi hal ini di seluruh stake holder.
Kasus Pencurian Data Terbesar Yang Terjadi di Tahun 2017
Baik rumah sakit, hotel, restoran, bisnis hiburan, asuransi, perbankan dan fintech, badan pemilihan umum, departemen pemerintahan, perusahaan teknologi, sosial media, hingga kantor konsultan keamanan cyber juga tidak luput dari kejadian pelanggaran data. Dan ini terjadi hampir diseluruh dunia termasuk Indonesia.
Sektor kesehatan merupakan yang paling parah terkain kasus pencurian data di tahun 2017. Meskipun jumlah catatan yang terkena dampak relatif kecil – namun masih meningkat secara signifikan dari enam bulan sebelumnya.
Berikut beberapa kasus pencurian data terbesar yang terjadi di sepanjang tahun 2017.
Equifax, 143 juta data sensifif nasabah kredit bocor!
143 Juta Data Nasabah Perusahaan Agensi Kredit Dicuri
Pada tanggal 7 September 2017, Equifax, salah satu dari tiga agensi kredit terbesar di A.S., mengalami pelanggaran data yang dapat mempengaruhi 143 juta data sensifif konsumen. Data sensitif yang dicuri termasuk nomor Jaminan Sosial dan nomor lisensi pengemudi.
Insiden ini merupakan salah satu kasus pencurian data terbesar yang pernah ada.
Hacker telah mengakses ke sistem perusahaan dari pertengahan bulan Mei sampai Juli dengan memanfaatkan titik lemah dalam perangkat lunak situs web. Pelanggaran tersebut ditemukan oleh Equifax pada tanggal 29 Juli 2017 dan pada saat itu, mereka meminta bantuan dari perusahaan forensik. Data yang dikompromikan lainnya dikatakan mencakup nama lengkap, alamat, tanggal lahir, nomor kartu kredit, dan informasi pribadi lainnya.
1.2 Juta Catatan Pasien Dicuri dari NHS, sebuah Rumah Sakit di Inggris
Pencurian Data Pada Sistem Reservasi Pasien NHS di Inggris
Pada tanggal 19 Agustus 2017, para jenius komputer yang diduga memiliki tautan ke grup hacking global Anonymous telah mencuri data pasien dari sistem pemesanan janji pertemuan NHS (National Health Service). NHS merupakan salah satu dari empat pusat layanan kesehatan terbesar di Inggris.
Pelakunya melanggar keamanan kontraktor swasta untuk mengakses database yang berisi catatan rahasia hingga 1.2 juta record. SwiftQueue merupakan perusahaan yang di percaya oleh delapan anggota NHS untuk mengelola situs web, di mana pasien dapat memesan janji temu dengan dokter umum, rumah sakit atau klinik. Mereka juga mengoperasikan terminal di ruang tunggu, di mana pasien dapat check-in pada saat kedatangan.
Taringa, Bocornya 28 Data Pengguna Akun Sosial Media
Lebih dari 28 Juta Data Pengguna Terekspos
Taringa merupakan situs jejaring sosial media ala Reddit untuk Amerika Latin. Pada 4 September 2017, situs jejaring sosial ini mengalami insiden pelanggaran data yang mengakibatkan lebih dari 28 juta data pengguna terekspos. Data tersebut termasuk username, e-mail dan password.
Taringa menggunakan kata sandi hashed, yang memakai algoritma MD5 – yang telah dianggap ketinggalan jaman bahkan sebelum 2012. Algoritma ini dapat dengan mudah dipecahkan, membuat pengguna Taringa terbuka terhadap peretas.
SVR Tracking, Data Pelanggan Mobil Sewaan Dibocorkan Secara Online
Lebih Setengah Juta Data Pelanggan Bocor di Amazon S3
SVR Tracking, sebuah layanan berbasis di San-Diego yang memberi dealer mobil dan pemilik lot kemampuan untuk menemukan dan menderek kendaraan. Pada tanggal 21 September 2017, lebih dari setengah juta catatan pelanggan mereka dibocorkan secara online.
Pada tanggal 18 September, Kromtech Security Center menemukan kerentanan terhadap 540.642 catatan dalam sebuah bucket Amazon S3 dan memberitahukan SVR Tracking pada tanggal 20 September. SVR mengamankan insiden kebocoran data itu dalam waktu tiga jam.
Namun, tidak diketahui berapa lama informasi tersebut tersedia untuk umum secara online. Data yang bocor cukup sensitif, termasuk alamat email, kata sandi, nomor plat, dan bahkan kemampuan untuk melihat setiap tempat yang dimiliki kendaraan selama 120 hari terakhir.
Bank UniCredit, Italia. 400.000 data nasabah bank terancam kena Phishing
400.000 Nasabah Bank Terancam Menjadi Korban Phishing
UniCredit, bank terbesar di Italia, telah mengakui bahwa mereka menderita dua pelanggaran data di 2016 dan terkahir 7 Agustus 2017. Kasus pencurian data ini mencakup 400.000 pelanggan secara keseluruhan. Pelanggan yang terkena dampak berisiko tinggi terhadap serangan phishing dengan memanfaatkan data yang bocor. Phishing dapat memberikan pintu masuk bagi kriminal untuk mengambil dana nasabah.
Nick Pollard, direktur intelijen keamanan dan analisis di Nuix, mengatakan bahwa pelanggaran ini adalah “contoh utama untuk mengetahui dari mana data tersebut, namun tidak memastikannya dilindungi dan dikelola dengan baik.”
Ketika Peraturan Perlindungan Data Umum Uni Eropa (GPDR) mulai berlaku pada bulan Mei 2018, hukuman atas pelanggaran data akan meroket. Setiap organisasi yang gagal mematuhi Peraturan dapat menghadapi denda sampai € 20 juta atau 4% dari omzet global tahunannya – mana yang lebih besar.
Peraturan tersebut juga memperkenalkan persyaratan kepatuhan yang lebih kuat, termasuk kebutuhan untuk melaporkan pelanggaran dalam waktu 72 jam setelah menemukannya.
Disamping itu, setiap elemen yang terlibat pada data nasabah, baik alat maupun software yang digunakan oleh infrastruktur IT wajib mendapatkan sertifikasi PCI DSS untuk melindungi hak konsumen. Sertifikasi PCI DSS ini akan melibatkan enkripsi dan teknik pengamanan lainnya yang di khususkan untuk nasabah perbankan.
CarWise ICT, Belanda, Rental Mobil Di Retas
100.000 Data Penyewaan Mobil di Belanda Bocor
Sebuah kebocoran data di perusahaan perangkat lunak CarWise ICT terjadi pada tanggal 7 Agustus 2017. Kebocoran tersebut ditemukan oleh perusahaan keamanan ESET. Diperkirakan bahwa setidaknya kasus pencurian data ini mencakup 100 ribu data.
Kebocoran tersebut ditemukan di perangkat lunak LeaseWise, yang digunakan oleh 52 perusahaan penyewaan mobil Belanda. Perusahaan-perusahaan ini berbagi database, namun akhirnya dapat diakses oleh pihak lain karena bocor. Data yang bocor mencakup alamat pelanggan, kontrak sewa dan jumlah kilometer yang ditempuh per mobil.
LeaseWise mengatakan bahwa kebocoran tersebut ditutup dalam waktu 24 jam setelah diberitahu oleh ESET pekan lalu. Badan asuransi kejahatan kendaraan dikejutkan oleh keadaan ini.
Sonic Drive-In, Restoran Cepat Saji Tersangkut Kasus Transaksi Kartu Kredit Ilegal
Restoran cepat saji dengan hampir 3.600 cabang di 45 negara bagian A.S., telah mengakui adanya pelanggaran yang mempengaruhi jumlah sistem pembayaran toko yang tidak diketahui. Pelanggaran yang sedang berlangsung mungkin telah menyebabkan penjualan bermasalah pada jutaan rekening kartu kredit dan debit curian yang sering ditawarkan di DarkWeb.
Jutaan Kartu Debit dan Kartu Kredit Palsu
Pelanggaran tersebut pertama diketahui pada tanggal 26 September 2017 di cabang Oklahoma City. Dari beberapa sumber industri perbankan, ada info mengenai jutaan kartu kredit dan debit yang disiapkan untuk dijual di pasar pencurian kartu kredit.
Peretas berbahaya biasanya mencuri data kartu kredit dari organisasi yang menerima kartu dengan cara hacking ke sistem Point of Sale dari jarak jauh dan menyebarkan sistem dengan perangkat lunak berbahaya yang dapat menyalin data akun yang tersimpan pada garis magnetik kartu.
Pencuri dapat menggunakan data tersebut untuk mengkloning kartu dan kemudian digunakan untuk membeli barang dagangan berharga dari toko elektronik dan para merchant kartu kredit.
Disinilah bahayanya jika perangkat Point of Sales dan alat gesek kartu kredit (Mesin EDC) jika belum memiliki sertifikasi PCI DSS sebagai standard kepatuhan yang berlaku umum.
Penerobosan Sistem Pembayaran Kartu di Whole Sale Food Market
Whole Foods Market baru-baru ini diakuisisi oleh Amazon, menemukan pelanggaran terhadap sistem pembayarannya, 28 September 2017.
Para pelanggan yang berbelanja di toko tersebut kemungkinan tidak terpengaruh, namun diyakini bahwa akses yang tidak sah tersebut terjadi di lokasi Whole Foods dengan taprooms dan restoran.
Whole Foods Market menggunakan Point-of-Sales (mesin kasir) yang berbeda dari sistem checkout toko utama perusahaan, dan kartu pembayaran yang digunakan di sistem checkout toko utama tidak terpengaruh.
Ketika Whole Foods Market mengetahui hal ini, perusahaan tersebut meluncurkan sebuah penyelidikan, memperoleh bantuan perusahaan forensik keamanan cyber terkemuka, menghubungi penegak hukum, dan mengambil tindakan yang tepat untuk menangani masalah ini.
Perusahaan saat ini sedang melakukan penyelidikan yang sedang berlangsung dan mengatakan akan memberikan update tambahan. Ini juga berarti bahwa sistem pembayaran Amazon tidak terhubung dengan Whole Foods dan tidak ada transaksi Amazon yang terkena dampak dari pelanggaran tersebut.
Sistem Kasir Kmart Terinfeksi Malware
Pada 31 Mei 2017, Sears Holdings, perusahaan induk Kmart, mengungkapkan bahwa sistem pembayaran Kmart terinfeksi dengan malware. Pembeli Kmart.com dan Sears tidak terpengaruh oleh pelanggaran ini. Kode berbahaya telah dihapus, namun perusahaan belum membagikan berapa lama sistem pembayaran diserang dan berapa banyak toko yang terpengaruh.
Tidak ada informasi identitas pribadi yang dikompromikan, namun sejumlah nomor kartu kredit tertentu mungkin ada. Kmart mengalami pelanggaran data yang sangat mirip pada tahun 2014.
Bocornya 14 Juta Data Pelanggan Verizon
Verizon mengalami insiden pelanggaran data pada tanggal 13 Juli 2017. Kasus pencurian data ini mengekspos 14 juta data pelanggan yang dapat di salah gunakan oleh pelaku.
Peretasan Data Yang Membahayakan Pelanggan
Pelanggaran data ditemukan oleh Chris Vickery, yang berada di perusahaan keamanan, UpGuard. Dia memberitahu Verizon tentang pemaparan data pada akhir Juni, dan butuh waktu lebih dari seminggu untuk mengamankan data yang dilanggar.
Data aktual yang didapat adalah file log yang dihasilkan saat pelanggan Verizon menghubungi perusahaan via telepon. Verizon menyimpan informasi ini untuk kemudian kembali ke verifikasi akun dan untuk memperbaiki layanan pelanggan mereka. Setiap record yang diakses termasuk nama pelanggan, nomor ponsel mereka, dan PIN yang terkait dengan akun.
Informasi pelanggan yang dicuri tersebut cukup untuk mengakses akun Verizon masing-masing orang menurut pakar keamanan yang diberitahu tentang pelanggaran tersebut. Dengan informasi ini, pengambilalihan akun dan pembajakan telepon bisa terjadi, yang bisa mengakibatkan peretasan akun media sosial dan akun email.
Data Penting Kantor Akuntan Publik di Bajak
Deloitte, salah satu firma Kantor Akuntan Publik terbesar di dunia telah mengalami insiden keamanan cyber. Deloitte menegaskan bahwa hanya sebagian kecil dari kliennya yang “terkena dampak” oleh pelanggaran tersebut.
Insiden Yang Merusak Reputasi Bisnis
Sejauh ini, enam klien telah diberitahu bahwa para hacker dapat mengakses “nama pengguna, kata sandi, alamat IP, diagram arsitektural untuk bisnis dan informasi kesehatan,” dan dalam beberapa kasus informasi keamanan yang sensitif. Secara total, sistem tersebut dilaporkan menyimpan email dari 244.000 anggota staf di layanan cloud Microsoft Azure.
Pada tahun 2012, firma riset dan penasihat Gartner, mengukuhkan Deloitte sebagai konsultan cybersecurity terbaik di dunia.
Bagi Deloitte, kejadian pelanggaran data ini sangat memalukan. Ini karena di antara banyak layanan lainnya – perusahaan multinasional menjalankan “Pusat CyberIntelligence” yang memberi saran kepada klien tentang bagaimana “mengurangi risiko secara cepat dan efektif dan memperkuat ketahanan cyber Anda.“
Data Pengguna Disqus Tahun 2012 Terekspos
Disqus, sebuah blog komentar layanan hosting, mengungkapkan bahwa telah ditargetkan oleh hacker lima tahun lalu. Perusahaan telah diingatkan tentang kerentanan sistem sejak tahun 2012. Akhirnya, pada 5 Oktober 2017 informasi pengguna di jebol peretas.
17.5 Juta Data Pengguna Terekspos
Dalam sebuah pernyataan, Disqus mengatakan bahwa situs tersebut memverifikasi keaslian data dan menemukannya dari database pengguna 2012 mereka, yang mencakup informasi sejak tahun 2007. Alamat email pengguna, nama pengguna, tanggal pendaftaran, dan tanggal masuk terakhir ada di antara data yang dicuri. Data tersebut mencakup alamat email, nama pengguna Disqus, tanggal pendaftaran, dan tanggal masuk terakhir dalam teks biasa.
Pihak Disqus menyatakan tidak ada penggunaan akun masuk yang tidak sah, namun telah mereset kata kunci dari semua pengguna yang terkena dampak.
Dampak Dari Insiden Keamanan Data
Dengan mempelajari kasus pencurian data tersebut, dapat kita ambil kesimpulan bahwa selain merugikan secara finansial, dimana bisnis harus memulihkan dan mengamankan kembali sistem mereka, reputasi bisnis juga rusak. Reputasi bisnis yang telah diperoleh perusahaan-perusahaan tersebut melalui proses tahunan, menjadi hancur seketika.
Tingkat kepercayaan pelanggan akan menentukan pendapatan bisnis. Ketika reputasi bisnis rusak, penurunan penjualan akan terjadi. Ini merupakan salah satu dampak serius dari kasus pencurian data. Oleh karena itu, keamanan infrastruktur IT dan pencadangan merupakan faktor utama dalam menjaga bisnis sekarang ini.
Jasa Content Marketing (SEO)
Hasil Survey Dampak Biaya Akibat Insiden Keamanan Data
Kebanyakan perusahaan yang terkena dampak cukup parah pada kasus pencurian data tersebut adalah lambatnya dalam mengidentifikasi penerobosan sistem. Beberapa jenis malware yang dikendalikan penyerang dapat menyusup secara halus.
Untuk dapat mendeteksi penerobosan sistem, perusahaan anda akan membutuhkan alat monitoring aktivitas di jaringan yang menggunakan machine learning.
Lambatnya respon terhadap suatu insiden juga memperparah dampak pada bisnis yang disebabkan oleh insiden keamanan.
Data Center Indonesia
Sekilas Mengenai Sertifikasi PCI DSS Versi 3.2
PCI DSS adalah sebuah Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS). Sertifikasi PCI DSS berisi standar keamanan informasi untuk organisasi yang menangani kartu kredit, kartu debit dan seluruh infrastruktur yang terlibat, baik hardware, maupun software.
Misal, untuk terminal EDC (electronic data capture), POS atau mesin kasir, dan seluruh perangkat yang terhubung. Termasuk modem, wireless LAN, server, data center / colocation, cloud dan backup, yang terlibat dalam transaksi keuangan menggunakan kartu debit dan kartu kredit harus memilki sertifikasi PCI DSS.
Standar PCI DSS dikelola oleh Dewan Standar Keamanan Industri Kartu Pembayaran. Sertifikasi PCI DSS ini dibuat untuk meningkatkan kontrol seputar data pemegang kartu untuk mengurangi kecurangan kartu kredit. Dewan Standar Keamanan PCI terus berupaya memantau ancaman dan memperbaiki sarana industri untuk menangani hal tersebut, melalui peningkatan pada Standar Keamanan PCI dan oleh pelatihan profesional keamanan.
Kesimpulan:
Trend insiden keamanan jaringan dan data terus meningkat di tahun 2017 ini. Demikian bisnis yang terkena dampak beserta biaya yang perlu dikeluarkan. Selain downtime operasional yang diakibatkan, biaya yang lebih besar diperlukan untuk memulihkan sistem dan memulihkan reputasi.
Oleh karena itu sebaiknya perusahaan-perusahaan di Indonesia mulai menerapkan praktik standar keamanan terbaik. Misalnya untuk infrastruktur IT, sesuai petunjuk pada standar kepatuhan ISO 27001, dan untuk transaksi keuangan menggunakan kartu dengan mengikuti standar PCI DSS.