Cyberthreat.id – Pemerintah Australia mengatakan pada Selasa (11 Oktober 2022) telah membuka penyelidikan terhadap Optus, operator seluler terbesar kedua di negara itu, setelah insiden kebocoran data 10 juta pelanggan.

Penyelidikan akan dilakukan oleh Kantor Komisi Informasi Australia (OAIC) dan Otoritas Komunikasi dan Media Australia (ACMA), tulis Reuters.

Sejak pengungkapan insiden pada 22 September lalu, Optus dikecam oleh pemerintah dan publik karena tidak bisa mencegah serangan siber.

OAIC akan menyelidiki apakah perusahaan milik Singtel itu telah melakukan langkah-langkah pencegahan yang wajar atau tidak untuk melindungi data pelanggan. Juga, apakah mereka juga telah mematuhi undang-undang perlindungan data pribadi atau belum.

---

Berita Terkait:

• Optus Diretas, Data 1,2 Juta Pelanggan Terkena Dampak
• Polisi Tangkap Pemeras Berbekal Data Pelanggan Optus yang Bocor
• Usai Optus, Anak Perusahaan Singtel Lain Alami Kebocoran Data

---

Sementara penyelidikan ACMA berfokus pada apakah Optus sudah memenuhi kewajiban sebagai penyedia telekomunikasi atau belum terutama dalam hal penyimpanan dan penghapusan data pribadi.

Setelah insiden kebocoran data itu, pemerintah Australia berencana merombak undang-undang keamanan data. Perusahaan nantinya dipaksa untuk memberi tahu bank tentang pelanggan yang mungkin ditarget serangan siber.

Sebagian kantor pengacara juga sedang mempertimbangkan untuk mengajukan gugatan class action.

Menurut OAIC, jika ditemukan pelanggaran UU Perlindungan Data Pribadi, perusahaan dapat dikenai hukuman denda hingga US$1,4 juta per pelanggaran.

Jejak insiden

Kabar peretasan ini bermula pada 22 September lalu. Optus melalui situswebnya memberikan pernyataan pers bahwa perusahaan terkena serangan siber.

“…serangan siber mengakibatkan tereksposenya informasi pribadi pelanggan kami…,” ujar CEO Optus Kelly Bayer Rosmarin.

Informasi pelanggan itu mencakaup nama pelanggan, tanggal lahir, nomor telepon, alamat email, alamat fisik, dan nomor dokumen identitas diri, seperti SIM dan nomor paspor.

Namun, tidak ada kata sandi akun atau informasi keuangan, klaim Optus. Layanan seperti internet seluler dan rumah serta panggilan suara tidak terpengaruh. Layanan diklaim masih aman dan beroperasi seperti biasa.

Di hari berikutnya, 23 September, sebuah akun anonim “OptusData” di forum jual beli data, BreachForums, mengklaim telah memiliki data pelanggan Optus.

Ia menerbitkan sampel kecil dari data curian sebesar 11 juta pelanggan. Ia kemudian meminta uang tebusan sebesar US$ 1 juta dan jika tidak dibayar, data tersebut akan dibocorkan ke publk.

Berbicara kepada BleepingComputer, peretas mengatakan memanfaatkan kerentanan pada titik akhir API untuk mencuri data alih-alih melanggar sistem internal Optus.

Karena tidak digubris perusahaan, peretas itu merilis data pribadi 10.200 pelanggan secara gratis. Peretas sempat memberikan keterangan akun rekeningnya di Commonwealth Bank of Australia (CBA) sebagai rekening penampungan pembelian. Tapi, rekening itu kemudian telah diblokir.

Sejak Optus dan penegak hukum Australia bekerja menyelidikinya, di bawah “Operation Hurricane”, peretas justru mundur dari permintaan uang tebusan. Ia menyatakan tidak lagi menjual atau membocorkan data kepada siapa pun.

Peretas juga mengklaim telah menghapus data dari perangkatnya dan meminta maaf kepada pelanggan Optus. “Terlalu banyak mata-mata. Kami tidak akan menjual data kepada siapa pun,” katanya.[]