Pelanggaran Data Equifax Mengancam Data Pribadi 143 Juta Orang Amerika

Menyusul pelanggaran data besar-besaran yang diungkapkan Equifax kepada publik pada awal September, berita tentang serangan kedua yang sebelumnya terjadi terhadap lembaga kredit tersebut telah muncul. Meski awalnya hanya rumor dari sumber anonim, pada 19 September Equifax mengonfirmasi hal tersebut peretasan sekunder, yang terjadi pada bulan Maret, meskipun perusahaan tersebut menyangkal hal itu ada hubungannya dengan peretasan tersebut peretasan yang lebih besar. Menambah kerugiannya, Equifax kini secara tidak sengaja berkontribusi pada kampanye phishing dengan mengirim pelanggannya ke situs phishing daripada portal pemberitahuan pelanggarannya sendiri.

Rangkaian peristiwa sejauh ini

Seperti yang awalnya dilaporkan oleh New York Times, serangan cyber pertama yang kami pelajari terjadi antara pertengahan Mei 2017 dan 29 Juli ketika intrusi tersebut diketahui. Apa yang membuat serangan Equifax sangat menyusahkan adalah status perusahaan tersebut sebagai pusat kliring untuk hal-hal yang berhubungan dengan kredit sensitif informasi termasuk nomor jaminan sosial, nomor SIM, dan data lainnya yang dapat digunakan dengan berbagai cara untuk merugikan mereka terpengaruh.

Pelanggaran data sebelumnya di Equifax dikatakan terjadi pada bulan Maret dan meskipun Equifax mengklaim hal tersebut peretasan sebelumnya tidak ada hubungannya dengan peretasan yang terjadi akhir tahun ini, kata beberapa sumber anonim jika tidak. Namun dalam kedua kasus tersebut, Equifax menggunakan jasa perusahaan keamanan digital Mandiant untuk menyelidikinya.

Pada tanggal 2 Oktober, Equifax mengumumkan bahwa Mandiant telah menyelesaikan penyelidikan forensiknya pelanggaran tanggal 7 September, dan bahwa 2,5 juta orang Amerika mungkin terkena dampaknya meretas. Hal ini menjadikan jumlah total orang yang terkena dampak menjadi 145,5 juta orang. Namun Mandiant tidak menemukan bukti lebih lanjut adanya aktivitas peretasan baru. Selain itu, tampaknya dampak pelanggaran ini tidak meluas ke luar Amerika Utara – sekitar 8.000 warga Kanada (bukan 100.000 seperti yang diperkirakan sebelumnya) mungkin juga terkena dampaknya.

“Saya diberitahu pada hari Minggu bahwa analisis jumlah konsumen yang berpotensi terkena dampak insiden keamanan siber telah dilakukan selesai, dan saya mengarahkan agar hasilnya segera diumumkan,” CEO sementara yang baru diangkat, Paulino do Rego Barros, Jr. dikatakan. “Prioritas kami adalah transparansi dan peningkatan dukungan terhadap konsumen. Saya akan terus memantau kemajuan kami setiap hari.”

Dalam kesaksian tertulis, mantan CEO Richard Smith mengatakan kepada Komite Energi dan Perdagangan, “Tampaknya pelanggaran tersebut terjadi karena kesalahan manusia dan kegagalan teknologi.”

Baru-baru ini, menambahkan penghinaan hingga cedera, akun Twitter Equifax baru-baru ini mengirim pelanggan ke situs “securityequifax2017.com,” sebuah situs palsu yang jelas-jelas meniru alamat web situs sebenarnya: equifaxsecurity2017.com. Tweet tersebut tentu saja telah dihapus, tetapi ini bukan pertama kalinya Equifax mengirim orang ke situs phishing tersebut. Perhatikan bahwa Google Chrome sekarang menandai situs palsu tersebut sebagai situs yang menipu.

Tandai Coppock/Tren Digital

Data apa yang dicuri?

Meskipun pada saat ini tampaknya tidak mungkin ada lagi informasi pribadi pelanggan Equifax yang dicuri dalam peretasan awal, hal ini menimbulkan pertanyaan serius tentang tanggapan perusahaan. Ada kemungkinan bahwa undang-undang mengharuskan Equifax untuk mengungkapkan informasi tentang hal tersebut jauh lebih cepat daripada yang dilakukan perusahaan dan hal ini perkembangan menyoroti lebih keras lagi beberapa penjualan saham mencurigakan yang dilakukan oleh eksekutif Equifax pada tahun 2017 Agustus.

Departemen Kehakiman AS telah membuka penyelidikan kriminal terhadap penjualan saham, menurut Sumber Bloomberg.

Meskipun pelanggaran Equifax bukanlah yang terbesar dalam hal jumlah korban – Serangan Yahoo melibatkan lebih banyak orang, dan itu HBO satu memberikan lebih banyak spoiler — ini mengkhawatirkan karena jenis informasi pribadi yang dicuri. Contoh informasi sensitif mencakup 209.000 nomor kartu kredit, informasi pribadi terkait sengketa kredit untuk 182.000 korban, dan data yang selanjutnya dapat digunakan untuk mengakses riwayat medis, rekening bank, dan banyak lagi.

Pada 15 September, Equifax merilis lebih banyak informasi tentang peretasan tersebut, dan juga mencatat bahwa dua eksekutif senior — Chief Information Officer dan Kepala Petugas Keamanan sedang “pensiun”. Namun, mengingat kejadian baru-baru ini, kemungkinan ada lebih dari sekedar cerita masa pensiun. Equifax lebih lanjut mengungkapkan bahwa penyelidikan internalnya masih berlangsung dan perusahaan tersebut “terus bekerja sama dengan FBI dalam penyelidikannya.” Sejauh ini, hal itu sudah terjadi mengungkapkan bahwa Equifax pertama kali melihat aktivitas mencurigakan pada tanggal 29 Juli 2017, namun menunggu hingga tanggal 2 Agustus untuk menghubungi perusahaan keamanan siber dan melakukan “tinjauan forensik yang komprehensif.”

Seperti yang dikatakan Pamela Dixon, direktur eksekutif kelompok riset nirlaba World Privacy Forum, dalam sebuah pernyataan bahwa “Ini adalah hal yang sangat buruk. Jika Anda memiliki laporan kredit, kemungkinan besar Anda termasuk dalam pelanggaran ini. Peluangnya jauh lebih baik dari 50 persen.”

Apa yang harus dilakukan?

Menurut siaran pers yang dikeluarkan oleh kantor Senator Mark Warner (D. Virginia), serangan Equifax menimbulkan pertanyaan penting tentang peran pemerintah dalam menanggapi ancaman yang sedang berlangsung terhadap informasi pribadi.

“Meskipun banyak orang mungkin sudah terbiasa mendengar adanya pelanggaran data baru setiap beberapa minggu, cakupan pelanggaran ini – yang melibatkan Jaminan Sosial nomor telepon, tanggal lahir, alamat, dan nomor kartu kredit hampir separuh penduduk AS – menimbulkan pertanyaan serius mengenai apakah Kongres harus tidak hanya menciptakan standar pemberitahuan pelanggaran data yang seragam, tetapi juga apakah Kongres perlu memikirkan kembali kebijakan perlindungan data, sehingga perusahaan seperti Equifax memiliki lebih sedikit insentif untuk mengumpulkan kumpulan data sangat sensitif yang besar dan terpusat seperti SSN dan informasi kartu kredit di jutaan orang Amerika.”

Ketika menyebut serangan semacam itu sebagai “ancaman nyata terhadap keamanan ekonomi Amerika,” kemungkinan besar Warren dan pejabat pemerintah lainnya akan mendorong undang-undang yang menciptakan perlindungan konsumen yang lebih kuat dari data pencurian. Warner telah berupaya mengembangkan undang-undang semacam itu, dan hal ini kemungkinan akan semakin cepat.

Equifax juga akan mengirimkan pemberitahuan tertulis kepada semua konsumen AS yang berpotensi terkena dampak, dan alat online yang dapat digunakan masyarakat untuk menentukan risiko mereka juga telah diperbarui.

“Saya ingin meminta maaf sekali lagi kepada seluruh konsumen yang terkena dampak. Ketika fase penting pekerjaan kami ini telah selesai, kami terus mengambil berbagai langkah untuk meninjau dan meningkatkan praktik keamanan siber kami. Kami juga terus bekerja sama dengan tim internal dan penasihat luar kami untuk menerapkan dan mempercepat peningkatan keamanan jangka panjang,” tambah Barros pada awal Oktober.

Kunjungi equifaxsecurity2017.com untuk Belajarlah lagi tentang serangan itu, cari tahu apakah Anda terpengaruh, Dan mendaftar dalam perlindungan pencurian identitas gratis dan layanan pemantauan file.

Diperbarui: Equifax mengetahui bahwa 2,5 juta orang Amerika mungkin terkena dampak pelanggaran ini.

Rekomendasi Editor

• Peretasan melibatkan data seluruh populasi suatu negara
• Peretas mencuri $1,5 juta menggunakan data kartu kredit yang dibeli di web gelap
• Pelanggaran data dapat menimbulkan kerugian jutaan dolar — dan Anda mungkin harus membayarnya
• Peretas mencuri catatan 1 miliar orang dalam pelanggaran data yang belum pernah terjadi sebelumnya
• Peretas menargetkan AMD untuk mencuri data rahasia sebesar 450GB