ShopBack didenda S$74,000 gara-gara data peribadi lebih 1.4 juta pelanggan bocor

SINGAPURA: Portal pulangan tunai online ShopBack didenda S$74,400 oleh badan pemerhati privasi data Singapura berhubung kebocoran data yang menjejas lebih sejuta pelanggannya.

Pangkalan data pelanggan ShopBack dijual di sebuah forum online pada 2020, menurut Suruhanjaya Perlindungan Data Peribadi (PDPC) dalam satu keputusan bertulis yang dikeluarkan pada Rabu (16 Ogos).

Data peribadi itu termasuk alamat emel, nama, nombor telefon, nombor akaun bank dan sebahagian maklumat kad kredit.

Para penggodam mencerobohi server ShopBack dan memancing data menggunakan kunci akses yang memberikan akses pentadbiran sepenuhnya, yang kekal berada dalam tempat simpanan privet di platform GitHub selama 15 bulan.

ShopBack, yang juga dikenali dengan nama Ecommerce Enablers Pte Ltd, menawarkan pulangan tunai bagi pembelian menerusi program pedagang gabungan. Ia juga menyediakan kupon dan kod baucar kepada para pelanggan.

APA YANG BERLAKU

ShopBack pertama kali memaklumkan kepada PDPC dan pelanggannya mengenai insiden melibatkan akses tidak sah ke dalam server pangkalan data pelanggannya pada 25 September 2020. PDPC kemudian menerima dua aduan daripada pelanggan.

Pada 12 November tahun itu, pangkalan data pelanggan ShopBack kemudian ditawarkan untuk dijual di Raidforums, iaitu sebuah forum keselamatan siber online yang lazimnya digunakan untuk menjual beli pangkalan data yang dicuri. Nama domain dan kandungannya kini sudah dirampas oleh pihak berkuasa Amerika Syarikat. 

Pada waktu pencerobohan itu berlaku, ShopBack menempatkan pangkalan data tersebut di server maya dalam sekitaran awan Amazon Web Services (AWS).

Ia menggajikan pasukan 12 orang jurutera bagi kebolehpercayaan laman, yang menggunakan kunci akses AWS dengan akses penuh pentadbiran bagi tujuan kerja.

Pada 4 Jun 2019, kunci itu secara tidak sengaja dijadikan kod perisian dalam tempat simpanan privet di GitHub oleh seorang anggota kanan pasukan tersebut.

Meskipun seorang lagi anggota mengesan apa yang sudah berlaku dua hari kemudian dan kunci itu dikeluarkan daripada GitHub, ia kekal boleh dilihat di bahagian "sejarah" GitHub, yang mencatatkan semua perubahan dan versi lama kod yang dimuat naik di sana.

GitHub merupakan platform dan khidmat berasaskan awan yang membolehkan pembangunnya menyimpan dan menguruskan kod mereka serta bekerjasama bagi satu-satu projek.

Dalam bulan yang sama, sebuah lagi pasukan gagal untuk meleburkan dan mengeluarkan kunci tersebut setelah membuat kunci gantian.

Disebabkan itu, kunci tersebut boleh digunakan untuk mengakses server simpanan data pelanggan ShopBack sehingga sekitar 15 bulan kemudian.

ALAMAT EMEL 1.4 JUTA PENGGUNA TERJEJAS

Para 9 September 2020, satu ancaman berniat jahat mengakses sekitaran AWS ShopBack menggunakan kunci tersebut dan memancing data daripada server penyimpanan data pelanggan.

Ini termasuk alamat emel sekitar 1.45 juga pengguna; 840,000 nama, 450,000 nombor telefon; 140,000 alamat, 10,000 nombor kad pengenalan; dan 300,000 nombor akaun bank.

Sekitar 380,000 maklumat kad kredit pengguna juga dicuri. Perinciannya termasuk sebahagian nombor kad kredit, bulan dan tahun tarikh luput serta bank pengeluar kad.

Seminggu kemudian semasa semakan rutin keselamatan, ShopBack mengesan apa yang sudah berlaku. Ia kemudian mendapatkan khidmat pakar forensik privet untuk menjalankan siasatan lanjut.

PDPC menarik perhatian bahawa ShopBack segera mengambil langkah-langkah pemulihan, seperti menarik balik semua perubahan yang dibuat penggodam dan melakukan log keluar secara paksa dan menukar kata laluan bagi semua akaun pelanggan. 

Untuk mencegah insiden sama daripada berulang, ShopBack juga mempertingkat pemantauan log bagi memastikan sebarang akses tidak sah akan dikesan, antara lain.

PDPC mendapati ShopBack kurang proses ketat yang mencukupi untuk menguruskan kunci AWS. Ia menolak hujah ShopBack bahawa kunci yang terjejas disebabkan kesilapan manusia, bukan daripada sebarang isu sistem dengan amalan-amalan keselamatan yang ditetapkan.

ShopBack juga gagal menjalankan semakan keselamatan secara berkala, yang boleh mengesan sama ada kunci AWS sudah ditukar dengan betul atau dipadamkan, menurut PDPC.

Untuk menentukan denda kewangan yang wajar, PDPC mempertimbangkan "tempoh panjang" semasa kunci tersebut terdedah, namun mengakui bahawa ShopBack sudah mengambil tindakan pantas bagi langkah pemulihan dan mengakui kegagalannya.

Pada Oktober tahun lalu, denda maksimum yang boleh dikenakan ke atas sebuah syarikat bagi kebocoran data dinaikkan kepada sama ada 10 peratus daripada kadar tirisan syarikat di Singapura atau S$1 juta, bergantung kepada mana satu yang lebih tinggi nilainya.