Korea Selatan telah mendenda merek fesyen mewah Louis Vuitton, Christian Dior Couture, dan Tiffany $25 juta karena gagal menerapkan langkah-langkah keamanan yang memadai, yang memfasilitasi akses tidak sah dan pemaparan data milik lebih dari 5,5 juta pelanggan.
Ketiga merek tersebut merupakan bagian dari grup Louis Vuitton Moët Hennessy (LVMH) dan mengalami pelanggaran data[[1, 2, 3]setelah peretas memperoleh akses ke layanan manajemen pelanggan berbasis cloud mereka.
Komisi Perlindungan Informasi Pribadi (PIPC) di Korea Selatan mengatakan bahwa dalam kasus Louis Vuitton, perangkat seorang karyawan terinfeksi malware, yang menyebabkan perangkat lunak sebagai layanan (SaaS) disusupi dan bocornya data untuk 3,6 juta pelanggan.
Meskipun produk tersebut tidak disebutkan namanya, peneliti Google mengaitkan kampanye tersebut dengan geng ShinyHunters, yang Tenaga Penjualan yang ditargetkan platform. Pelaku ancaman kemudian mengklaim pelanggaran sistem LVMH.
Pelanggaran di tiga merek regional tahun lalu mengungkap data sensitif pelanggan, termasuk nama, nomor telepon, alamat email, alamat pos, dan riwayat pembelian.
PIPC mengatakan bahwa Louis Vuitton telah mengoperasikan alat SaaS sejak tahun 2013, namun “tidak membatasi hak akses ke alamat Protokol Internet (IP), dll., dan tidak menerapkan metode autentikasi yang aman ketika penangan informasi pribadi mengakses layanan dari luar.”
Karena gagal mengamankan akses ke data pelanggan secara memadai, badan perlindungan data Korea Selatan mengenakan denda $16,4 juta pada Louis Vuitton dan memerintahkan perusahaan tersebut untuk mengumumkan penalti tersebut di situs web bisnisnya.
Di Dior, pelanggaran terjadi melalui serangan phishing terhadap karyawan layanan pelanggan, yang ditipu untuk memberikan akses kepada peretas ke sistem SaaS, sehingga mengekspos data 1,95 juta pelanggan.
Dior telah menggunakan sistem ini sejak tahun 2020, tetapi tidak menerapkan daftar yang diizinkan, tidak menerapkan pembatasan pengunduhan data massal, dan gagal memeriksa log akses, sehingga menunda penemuan pelanggaran selama lebih dari tiga bulan.
Selain itu, Dior Korea Selatan mengungkapkan pelanggaran tersebut kepada PIPC lima hari setelah mengetahuinya. Berdasarkan PIPA, organisasi diharuskan memberi tahu lembaga perlindungan data dalam waktu 72 jam sejak mereka menyadari adanya kebocoran informasi pribadi.
Karena pelanggaran ini, PIPC mengumumkan denda finansial sebesar $9,4 juta untuk Dior Korea Selatan.
Tiffany dibobol dengan cara serupa, yaitu penyerang menggunakan phishing suara untuk mengelabui karyawan layanan pelanggan agar memberi mereka akses ke sistem SaaS. Namun, dampaknya jauh lebih rendah dalam kasus ini, yaitu 4.600 klien yang terpapar.
Mirip dengan dua kasus lainnya, Tiffany juga mengabaikan penerapan kontrol akses berbasis IP dan pembatasan pengunduhan data massal serta tidak memberi tahu individu yang terkena dampak dalam jangka waktu yang ditentukan secara hukum. Merek tersebut menerima denda $1,85 juta.
PIPC menekankan bahwa solusi SaaS tidak membebaskan perusahaan dari tanggung jawab mereka untuk mengelola data klien dengan aman, juga tidak mengalihkan tanggung jawab tersebut kepada vendor solusi tersebut.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
