RedDoorz.com malu setelah meninggalkan kunci akses AWS di APK

Komisi Perlindungan Data Pribadi Singapura (PDPC) telah mengeluarkan denda sebesar SG $ 74.000 ($ 54.456) pada perusahaan travel Commeasure, yang mengoperasikan situs web pemesanan travel bernama RedDoorz yang mengekspos 5,9 juta data pelanggan — pelanggaran data terbesar yang ditangani oleh Komisi sejak awal.

PDPC mengumumkan hukuman karena “gagal menerapkan pengaturan keamanan yang wajar untuk mencegah akses tidak sah dan eksfiltrasi data pribadi pelanggan yang dihosting dalam database cloud”.

RedDoorz mulai hidup di Indonesia sebelum pindah operasi ke Singapura, dari sana ia mengumpulkan pemesanan hotel murah di kota-kota tertentu di Asia Tenggara. Pengguna memilih hotel murah dari RedDoorz berdasarkan foto, area dan harga. Ketika wisatawan tiba, pengalaman kamar hotel diganti namanya menjadi RedDoorz dan dilengkapi dengan layanan tertentu – seperti WiFi, TV, dan air minum.

Commeasure mengetahui ada pelanggaran data pelanggan RedDoorz pada September 2020, ketika sebuah perusahaan cybersecurity yang berbasis di Atlanta memberi tahu perusahaan induk tentang peretasan dan menawarkan layanan perbaikan. Dalam seminggu, perusahaan teknologi perjalanan memberi tahu PDPC.

Data yang dicuri termasuk nama, nomor kontak, alamat email, ulang tahun, kata sandi akun RedDoorz terenkripsi dan informasi pemesanan. Menurut putusan PDPC, database tidak termasuk nomor kartu kredit. Jarahan itu disiapkan untuk dijual di forum hacker.

Kesalahan langkah yang membuat data dicuri kembali ke hari-hari startup perusahaan, ketika kunci akses AWS disematkan ke dalam paket aplikasi Android (APK) yang tersedia untuk diunduh dari Google Play Store. APK, yang dibuat pada tahun 2015 dan terakhir diperbarui pada Januari 2018, secara keliru ditandai sebagai kunci “uji” oleh pengembang pada saat itu. Itu tetap terlihat meskipun dianggap “mati” sampai perusahaan diberitahu tentang pelanggaran pada tahun 2020.

Dengan kunci akses AWS di tangan, crims dapat memperoleh akses dan exfiltrate catatan pelanggan yang dihosting di database cloud Amazon RDS. RedDoorz memang melakukan upaya untuk melindungi data – misalnya dengan menyewa perusahaan cybersecurity dan menggunakan alat obfuscation Java Proguard untuk mencegah rekayasa balik APK – tetapi itu semua sia-sia karena file yang relevan tidak pernah dievaluasi.

Pendiri dan CEO RedDoorz, Amit Samberwal, mengatakan kepada The Register:

Kami segera melakukan tinjauan internal dan kemudian melibatkan perusahaan cybersecurity eksternal untuk meningkatkan langkah-langkah keamanan. Pada saat itu, kami juga telah memberi tahu semua pengguna, media publik, dan otoritas masing-masing tentang pelanggaran tersebut. PDPC di Singapura baru-baru ini menyelesaikan penyelidikan setelah lebih dari satu setengah tahun, dan menganggap kasus ini ditutup dengan denda $ 74K yang dikenakan.

Commeasure mengatakan kepada PDPC bahwa kegagalan untuk menerapkan proses yang cukup kuat untuk mengelola inventaris kunci akses infrastrukturnya adalah karena pergantian karyawan yang tinggi. Itu tidak berjalan dengan baik dengan Komisi. Namun, otoritas pengatur mengatakan mempertimbangkan perilaku kooperatif perusahaan, tindakan perbaikan, tinjauan keamanan yang tidak efektif namun teratur, dan keadaan yang tidak menguntungkan menjadi bisnis perhotelan di tengah pandemi, karena memutuskan hukuman keuangan.

Komisi memberi Commeasure 30 hari untuk membayar sebelum bunga masuk.

Sumber: The Register