Cyberthreat.id - Capital One diharuskan membayar sanksi denda $ 80 juta (Rp 1,1 triliun) oleh biro Departemen Keuangan (Treasury Departement) Amerika Serikat sehubungan dengan insiden di tahun 2019 penyebab data breach sekitar 100 juta pelanggan AS dan Kanada yang potensial diakses secara ilegal.

Kantor Pengawas Mata Uang (OCC) akan memungut denda untuk dibayarkan ke Departemen Keuangan. Capital One dinilai tidak memiliki "kontrol manajemen risiko" yang memadai menjelang insiden peretasan 2019 dan karena "kegagalan grup/perusahaan untuk memperbaiki kekurangan pada waktu yang tepat."

Selain itu, Dewan Gubernur Federal Reserve System (The Fed) telah menerbitkan perintah penghentian operasional perusahaan Capital One pada hari Kamis (6 Agustus 2020). The Fed juga memerintahkan Capital One untuk mengadopsi "program manajemen risiko di seluruh perusahaan". Tujuannya untuk mengidentifikasi potensi keamanan di masa depan.

Hacker pelaku peretasan data nasabah ini adalah Paige Thompson (33 tahun), seorang mantan karyawan Amazon, didakwa oleh Grand Jury Federal karena diduga mengakses dan mencuri data sensitif yang disimpan di cloud dari beberapa perusahaan, termasuk Capital One.

Thompson ditangkap setelah mencuri informasi pribadi lebih dari 100 juta pelanggan dan calon pelanggan Capital One AS, termasuk nomor Jaminan Sosial dan nomor rekening bank, serta data tambahan 6 juta pelanggan Kanada.

Kesalahan Konfigurasi

Menurut Departemen Kehakiman (Justice Departement), Thompson melakukan peretasan dan mengakses data melalui perangkat lunak yang mengidentifikasi pelanggan mana dari grup cloud yang memiliki firewall aplikasi web yang "salah konfigurasi". Thompson kemudian memposting tentang pencurian datanya di GitHub.

Thompson sedang menunggu persidangan, dan menghadapi ancaman hukuman 25 tahun penjara jika terbukti bersalah. Departemen Kehakiman mengatakan, pada saat dakwaan Thompson, tidak ada bukti Thompson menjual atau menyebarkan data yang dicuri tersebut.

Jaksa Agung New York, Letitia James, membuka penyelidikan atas kasus Mega Breach ini tahun lalu, sementara anggota Kongres juga menuntut jawaban seputar pelanggaran data tersebut.

Tanggapan Capital One

Juru bicara Capital One mengatakan kepada The Hill bahwa menjaga informasi pelanggan merupakan prioritas perusahaan sebagai lembaga keuangan.

Perusahaan mengatakan, telah "memiliki kontrol yang baik sebelum data breach terjadi" sehingga Capital One dapat mengamankan data sebelum informasi pelanggan dapat digunakan atau disebarluaskan sekaligus membantu pihak berwenang dengan cepat menangkap peretas.

"Sejak insiden itu, kami telah menginvestasikan sumber daya tambahan yang signifikan untuk lebih memperkuat pertahanan cyber kami," kata juru bicara Capital One.

Selain itu, perusahaan juga "menghargai pengakuan regulator atas pemberitahuan positif pelanggan dan upaya perbaikan". Dan, Capital One juga akan "memastikan telah memenuhi standar perlindungan tertinggi bagi pelanggan."

Ketika Capital One mengungkapkan insiden pelanggaran data pada tahun 2019, terungkap bahwa kerentanan yang dieksploitasi oleh Thompson telah diperbaiki dan berjanji untuk belajar dari insiden tersebut. []