Cyberthreat.id - Kantor Komisi Informasi (ICO) Inggris menjatuhkan denda senilai £ 1,25 juta atau setara Rp23,3 miliar terhadap perusahaan penjual tiket Ticketmaster atas insiden kebocoran data tahun 2018.

Dikutip dari Info Security Magazine,  ICO mendenda Ticketmaster karena dinilai gagal dalam menjaga keamanan data pribadi dari 11 juta penggunanya di Eropa dan Inggris.

Penyelidikan ICO memutuskan Ticketmaster melanggar Peraturan Perlindungan Data Umum dengan gagal menerapkan langkah-langkah keamanan yang sesuai untuk mencegah serangan dunia maya pada bot obrolan yang dipasang di laman pembayaran online-nya.

Pelanggaran tersebut dimulai pada Februari 2018, setelah nasabah dari beberapa bank seperti Monzo, Commonwealth Bank of Australia, Barclaycard, Mastercard dan American Express melaporkan transaksi penipuan kepada Ticketmaster, tetapi mereka gagal mengidentifikasi masalahnya.

"Penyelidik menemukan bahwa Ticketmaster hanya mulai memantau lalu lintas jaringan melalui halaman pembayaran online sembilan minggu setelah diberitahu adanya penipuan," ungkap ICO.

Penyelidik menemukan bahwa pelanggaran tersebut menyebabkan 60.000 nasabah Barclays Bank menjadi korban penipuan. Selain itu, 6.000 kartu lain milik pelanggan Ticketmaster diganti oleh Bank Monzo karena dugaan penipuan.

Pada Juni 2018, Ticketmaster mengeluarkan pemberitahuan pelanggaran data kepada para pelanggannya, setelah penyedia platform pihak ketiga Inbenta Technologies terinfeksi malware. Malware tersebut terdeteksi pada produk dukungan pelanggan, yang kemudian mengeksfiltrasi data pelanggan dan meneruskannya kepada operator malware.

Menurut Ticketmaster, informasi yang dicuri pada insiden tersebut termasuk nama, alamat, email, nomor telepon, nomor kartu pembayaran, tanggal kedaluwarsa, nomor CVV, dan detail login milik penguna Ticketmaster.

Direktur muda di firma hukum Inggris TLT,  Emma Erskine- Fox, mengatakan kunci utama dari kasus yang menimpa Ticketmaster adalah data yang disusupi tidak dikirim ke bot obrolan, tetapi justru dikirim ke laman tempat bot obrolan itu disematkan, yang kemudian dapat dieksfiltrasi oleh peretas dengan memanfaatkan bot obrolan.

Berkaitan dengan hal tersebut, Fox menyarankan, saat menilai risiko pemrosesan data pribadi menggunakan perangkat lunak yang disematkan ke dalam situs web, organisasi harus mempertimbangkan data apa yang mungkin dikirimkan ke software tersebut, sekaligus mewaspadai kerentanan yang menyebabkan data dikirim ke situs lainnya.[]

Editor: Yuswardi A. Suud