Dixons Carphone, perusahaan induk yang memiliki Currys PC World, Carphone Warehouse, dan toko Dixons Travel, telah mengakui pelanggaran data besar-besaran yang terjadi tahun lalu yang melibatkan sepuluh juta pelanggan. Angka yang direvisi hampir sepuluh kali lipat dari apa yang awalnya diyakini oleh perusahaan sebagai statistik, dengan perkiraan awal yang ditagih pada 1,2 juta pelanggan.
Lihat terkait
Investigasi telah berlangsung sejak peretasan ditemukan pada bulan Juni, dengan peretas dilaporkan mendapatkan akses ke 5,9 juta catatan kartu pembayaran. Namun, dianggap demikian hampir semua 5,9 juta ini dilindungi oleh sistem chip dan pin yang terpercaya; perusahaan mengadu itu sebagai sebuah "upaya untuk mengkompromikan" 5,9 juta kartu, tetapi hanya 105.000 kartu tanpa perlindungan chip-and-pin (yang dikeluarkan di luar UE) yang bocor. Kami mengatakan "hanya", tetapi itu masih membahayakan sejumlah besar detail pelanggan.
Sementara itu, Dixons mengatakan "sangat menyesal atas kesusahan" yang dialami pelanggan. Perusahaan tersebut dikatakan sedang mengerjakan langkah-langkah keamanan sibernya, dengan kata kepala Dixons Carphone Alex Baldock BBC, “Sejak tinjauan keamanan data kami menemukan pelanggaran tahun lalu, kami telah bekerja sepanjang waktu untuk memperbaikinya.”
“Itu termasuk menutup akses tidak sah, menambahkan langkah-langkah keamanan baru dan meluncurkan segera investigasi, yang memungkinkan kami untuk membangun pemahaman yang lebih lengkap tentang insiden yang kami perbarui hari ini, ” Baldock menjelaskan. "Sebagai tindakan pencegahan, kami sekarang juga menghubungi semua pelanggan kami untuk meminta maaf dan memberi saran tentang langkah-langkah yang dapat mereka ambil untuk melindungi diri mereka sendiri." Tidak ada skala waktu yang diberikan untuk kapan dan dalam format apa pelanggan akan dihubungi.
Pelanggaran data Dixons Carphone
Data yang diakses sehubungan dengan 5,9 juta kartu yang dilindungi tidak berisi “kode pin, verifikasi kartu nilai (CVV) atau data autentikasi apa pun” yang dapat digunakan untuk mengidentifikasi pemegang kartu atau apa yang mereka miliki dibeli. Dixons Carphone tidak merinci informasi apa yang telah diungkapkan untuk 105.000 kartu lainnya, hanya dengan mengatakannya telah memberi tahu perusahaan kartu revelant, yang pada gilirannya akan "mengambil tindakan yang tepat" untuk melindungi pelanggan. Rilis tersebut tidak merinci tentang apa tindakan ini, tetapi kemungkinan melibatkan menghubungi pelanggan secara langsung, atau membatalkan kartu mereka sebagai tindakan pencegahan. Alphr telah meminta Dixons Carphone untuk lebih jelasnya.
Dixons Carphone sedang menyelidiki percobaan peretasan dan mengatakan telah memberi tahu Kantor Komisaris Informasi, Otoritas Perilaku Keuangan, serta polisi. Itu menambahkan bahwa "saat ini tidak ada bukti penggunaan informasi secara curang."
Di luar 5,9 juta kartu, 1,2 juta catatan data termasuk nama, alamat, dan alamat email pelanggan juga terungkap dalam pelanggaran Dixons Carphone dan perusahaan menghubungi mereka yang data non-keuangannya diakses untuk "memberi tahu mereka, meminta maaf, dan memberi mereka saran tentang langkah perlindungan apa pun yang harus mereka ambil". Alphr telah meminta perincian lebih lanjut kepada perusahaan tentang apa yang disarankan dan bagaimana pelanggan ini dihubungi.
Upaya peretasan dilakukan pada sistem pemrosesan khusus untuk Curry's PC World dan Dixon Travel di beberapa titik tahun lalu. Alphr telah menghubungi Dixons Carphone untuk perincian yang lebih spesifik. Carphone Warehouse mengatakan tidak memiliki bukti bahwa sistemnya sendiri telah dikompromikan dengan cara ini, tetapi menghubungi siapa pun yang terkena dampak pelanggaran sebagai masalah kehati-hatian.
“Perlindungan data kami harus menjadi inti dari bisnis kami, dan kami gagal di sini,” kata kepala eksekutif Dixons Carphone Alex Baldock. “Kami telah mengambil tindakan untuk menutup akses tidak sah ini dan meskipun saat ini kami tidak memiliki bukti penipuan sebagai akibat dari insiden ini, kami menganggap ini sangat serius.”
“Sebagai bagian dari peninjauan sistem dan data kami, kami telah menentukan bahwa telah terjadi akses tidak sah ke data tertentu yang disimpan oleh perusahaan. Kami segera meluncurkan penyelidikan, melibatkan pakar keamanan dunia maya terkemuka, dan menambahkan tindakan keamanan ekstra ke sistem kami. Kami telah mengambil tindakan untuk menutup akses ini dan tidak memiliki bukti bahwa itu terus berlanjut.”
Namun, Robert Wassall, pengacara perlindungan data dan kepala layanan hukum di ThinkMarble tidak yakin Alphr: “Sangat baik mengatakan bahwa detail keuangan pelanggan tidak berisiko, atau belum digunakan secara curang, tetapi mereka agak kehilangan intinya. Jika sikap mereka adalah 'jangan khawatir karena detail keuangan Anda belum dikompromikan', itu merupakan cerminan dari sikap yang salah terhadap perlindungan data.
“Fakta bahwa pelanggaran ini baru teridentifikasi melalui tinjauan keamanan rutin dapat dilihat dari dua sisi. Ya, bagus sekali pelanggaran ini teridentifikasi karena membuktikan bahwa proses peninjauan dan pemindaian kerentanan berhasil. Di sisi lain, pelanggaran dimulai pada Juli 2017, mengapa tidak diidentifikasi lebih awal? Seberapa sering pemindaian keamanan dilakukan, mengingat butuh hampir satu tahun untuk ditemukan?”
Pelanggaran data Dixons Carphone dan GDPR
Pelanggaran data ini adalah kebocoran publik besar pertama yang diumumkan sejak diperkenalkannya GDPR di Eropa.
Di bawah peraturan baru yang berjangkauan luas ini, perusahaan dapat didenda hingga €20 juta, atau 4% dari omset tahunan (mana yang lebih tinggi), jika mereka ditemukan gagal mematuhi GDPR atau mengalami pelanggaran data. Secara khusus, perusahaan harus memberi tahu pihak berwenang tentang pelanggaran data dalam waktu 72 jam setelah diketahui atau menghadapi denda €10 juta.
Jika Dixons Carphone baru saja mengetahui pelanggaran tersebut dan telah memberi tahu pihak berwenang dalam jangka waktu yang ditentukan, itu tidak akan bertanggung jawab atas denda awal ini. Sama halnya, jika pelanggaran terjadi tahun lalu, itu akan terjadi sebelum GDPR mulai berlaku pada 25 Mei, menunjukkan bahwa perusahaan juga akan menghindari denda GDPR yang besar dan kuat. Alphr telah menghubungi ICO untuk klarifikasi tetapi dalam pernyataan resmi, regulator mengatakan: “Sebuah insiden yang melibatkan Dixons Carphone telah dilaporkan kepada kami dan kami bekerja sama dengan Pusat Keamanan Siber Nasional, Financial Conduct Authority, dan lembaga terkait lainnya untuk memastikan perincian dan dampaknya pelanggan. Siapa pun yang khawatir tentang data yang hilang dan bagaimana penggunaannya harus mengikuti saran dari Action Fraud.”
BACA BERIKUTNYA: Apa itu GDPR?
Either way, pelanggaran data Dixons Carphone kemungkinan akan bertindak sebagai testbed dan banyak perusahaan lain akan mencari untuk melihat bagaimana hal itu ditangani. Aturan sebelumnya membatasi denda keuangan sebesar £500.000 jika perusahaan ditemukan telah melanggar Undang-Undang Perlindungan Data 1998. Cabang Yahoo di Inggris, sebagai contoh, didenda £250.000 oleh Kantor Komisaris Informasi minggu ini atas pelanggaran data pada tahun 2014 yang membuat peretas mencuri 500 juta data pribadi orang.
Regulator mengecam kegagalan perusahaan untuk menerapkan perlindungan yang memadai terhadap pencurian, dan berkata “kekurangan yang ditemukan telah ada untuk jangka waktu yang lama tanpa ditemukan atau ditujukan”.
