Cyberthreat.id – Perusahaan Perhotelan dan Penyewaan apartemen Sonder mengkonfirmasi pelanggaran data yang berpotensi membahayakan catatan tamu.

Pelanggaran data Sonder terjadi beberapa minggu setelah perusahaan induk Shein, Zoetop, didenda $1,9 juta setelah gagal memberi tahu pelanggan tentang peretasan yang dilaporkan memengaruhi jutaan pengguna.

Dikutip dari Info Security Magazine, menurut pembaruan keamanan yang diterbitkan pada Rabu (23 November 2022), Sonder mengetahui akses tidak sah ke salah satu sistemnya pada 14 November. Mereka menyebutkan bahwa data pelanggan yang terpengaruh adalah data pelanggan sejak 1 Oktober 2022.

“Sonder percaya bahwa catatan tamu yang dibuat sebelum 1 Oktober 2021 terlibat dalam insiden ini,” kata Sonder.

Perusahaan itu menyebutkan, bahwa mereka tidak memiliki bukti yang menunjukkan keterlibatan akun yang dibuat setelah 14 November 2022.

Data yang berpotensi disusupi dalam pelanggaran dilaporkan termasuk nama pengguna dan kata sandi terenkripsi, nama, nomor telepon, tanggal lahir, alamat, dan alamat email. Kuitansi transaksi tamu tertentu, termasuk empat digit terakhir nomor kartu kredit dan jumlah transaksi, juga dapat disusupi, di samping tanggal yang dipesan untuk menginap di properti Sonder.

“Selain itu, Sonder percaya bahwa salinan identifikasi yang dikeluarkan pemerintah seperti SIM atau paspor mungkin telah diakses untuk sejumlah catatan tamu,” kata perusahaan tersebut.

Sonder menjelaskan bahwa setelah menemukan pelanggaran tersebut, diperlukan langkah-langkah untuk membendungnya, termasuk memastikan bahwa individu yang tidak berwenang tidak lagi memiliki akses ke sistem dan operasi tidak terpengaruh dan menyelidiki ruang lingkup insiden tersebut.

Perusahaan juga mengatakan, jika pihaknya telah memberi tahu pengguna yang terkena dampak dan badan pengawas yang sesuai dan telah menghubungi penegak hukum.

Sementara itu, spesialis produk di Osirium, Mark Warren, mengatakan jika Sonder telah meningkatkan keamanan mereka sejak Oktober lalu. Meskipun penyerang berhasil mengakses cadangan lama atau salinan data.

“Akses tidak sah dapat berlaku untuk staf saat ini, seseorang yang keluar beberapa waktu lalu, vendor, atau penyerang,” kata Warren.

Warren mengatakan perusahaan harus belajar dari pelanggaran data seperti ini dan meningkatkan postur keamanan mereka dengan melindungi basis data pelanggan (dan cadangan) dari penyerang, staf yang tidak puas, dan kerusakan yang tidak disengaja. Eksekutif juga memperingatkan agar staf tidak memiliki akses langsung ke kredensial yang digunakan untuk mengakses sistem tersebut.

“Hal itu tidak hanya mengurangi risiko akses disusupi, tetapi juga membuat hidup jauh lebih mudah saat perusahaan perlu merotasi kredensial,” kata Warren.

Tanpa kontrol itu, mengubah kredensial secara teratur atau membuatnya sangat rumit menjadi terlalu mahal, sehingga banyak yang akhirnya mengambil jalan pintas atau tidak cukup sering memperbarui kredensial. Secara keseluruhan, Warren percaya perlindungan selalu kembali ke dasar.

“Ketahui di mana letak data dan sistem sensitif, pahami siapa yang memiliki akses dan siapa yang benar-benar membutuhkannya, dan pastikan bahwa akses hanya dimungkinkan melalui saluran yang aman seperti manajemen akses istimewa,” tambah Warren.