Cyberthreat.id - Otoritas Perlindungan Data Belanda (DPA) mendenda perusahaan pemesanan tiket pesawat dan hotel Booking.com hampir setengah juta Euro atas pelanggaran data.

Menariknya, denda tersebut dikeluarkan bukan hanya karena ada pelanggaran data, tetapi karena perusahaan tidak cukup cepat melaporkan pelanggaran data.

"Otoritas Perlindungan Data Belanda (DPA) telah memberlakukan denda € 475.000 (setara Rp8,2 miliar) terhadap Booking.com karena perusahaan membutuhkan waktu terlalu lama untuk melaporkan pelanggaran data ke DPA. Ketika pelanggaran terjadi, penjahat memperoleh data pribadi lebih dari 4.000 pelanggan. Mereka juga mendapatkan informasi kartu kredit dari hampir 300 orang," tulis DPA di situs resminya, Selasa (6 April 2021) seperti diberitakan Naked Security

Pelanggaran data itu antara lain mengacu pada kejadian pada Desember 2018, ketika penjahat siber menargetkan hotel-hotel di Uni Emirat Arab (UEA) menggunakan trik rekayasa sosial melalui telepon.

Penjahat itu rupanya menghubungi staf di 40 hotel berbeda di wilayah itu dan membujuk mereka untuk menyerahkan detail login untuk akun hotel di sistem Booking.com.

Dengan mendapatkan akses ke akun hotel, penjahat siber mengambil data 4.109 orang yang telah memesan hotel melalui Booking.com di UEA. Data yang diambil termasuk nama, alamat, nomor telepon, dan detail pemesanannya.

Selain itu, para penjahat juga mendapatkan data kartu kredit dari 283 orang, termasuk 97 pemesanan yang kode CVV-nya juga telah dicatat.

CVV adalah kode keamanan (biasanya tiga digit) yang tercetak di akhir strip tanda tangan di bagian belakang kartu kredit, tetapi tidak disimpan secara digital di mana pun, baik di magstripe maupun di chip.

Industri kartu pembayaran mengatakan bahwa CVV tidak boleh disimpan ke penyimpanan permanen sama sekali, setidaknya setelah transaksi selesai.

Namun, kode tersebut sering kali disimpan sementara, dengan asumsi bahwa transaksi tidak segera diproses, yang mengarah pada risiko eksposur jika ditampilkan atau dipulihkan nanti.

DPA juga mengklaim bahwa penjahat yang sama mencoba mengekstrak data pribadi dengan menelepon hotel dan berpura-pura berasal dari Booking.com, meskipun tidak jelas apakah bagian dari scam itu berjalan sesuai rencana.

Risiko yang Mungkin Dialami oleh Orang yang Datanya Dicuri
Bahkan tanpa data kartu kredit pun, penjahat yang mengetahui detail persis penginapan hotel yang sudah Anda pesan, berada dalam posisi kuat untuk menipu Anda dengan panggilan palsu, atau bahkan email palsu.

Wakil Ketua DPA Monqique Verdier mengatakan,"Dengan berlagak sebagai staf hotel, penipu menghubungi mereka lewat telepon dan email, dan berusaha mencuri uang dari orang-orang. Pendekatan seperti itu dapat terlihat sangat meyakinkan jika penipu tahu persis kapan Anda melakukan pemesanan dan kamar apa yang Anda pesan, kemudian meminta Anda untuk membayar malam itu juga. Uang dalam jumlah besar dapat dicuri dengan cara ini."

Laporan DPA mencantumkan kronologis sejak pembobolan data terjadi, dan bagaimana Booking.com merespon kejadian itu.

• Desember 2018    : Pembobolan data dimulai
• 13 Januari 2019  : Booking.com mengetahui kebocoran tersebut.
• 04 Februari 2019 : Booking.com memberi tahu pelanggan yang terkena dampak.
• 07 Februari 2019: Booking.com memberi tahu Otoritas Perlindungan Data.

Menurut DPA, perusahaan seharusnya memiliki waktu tiga hari untuk mengirimkan laporan sejak mengetahui terjadinya pelanggaran data, bukan 72 jam setelah mereka memberi tahu pelanggan.

Itu artinya, Booking.com seharusnya melaporkan ke DPA paling lambat 16 Januari 2021, 22 hari lebih cepat dari yang mereka lakukan.

"Mengambil tindakan cepat sangat penting, tidak terkecuali bagi korban pelanggaran. Setelah menerima laporan, DPA dapat memerintahkan perusahaan untuk segera memperingatkan mereka yang terkena dampak. Hal ini dapat mencegah penjahat memiliki waktu berminggu-minggu untuk mencoba menipu pelanggan," kata DPA. []