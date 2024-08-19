Miliaran data orang dipublikasikan di dark web sekitar 8 April 2024 — dari satu pelanggaran Data Publik Nasional. Namun, banyak korban masih tidak menyadari pemaparan data mereka karena belum menerima pemberitahuan atau pernyataan dari perusahaan.
Baru-baru ini, salah satu korban mengajukan gugatan kelompok setelah mengetahui bahwa data mereka dilanggar ketika menerima pemberitahuan dari penyedia layanan perlindungan pencurian identitas. Apa artinya ini bagi orang yang datanya dijual di dark web tanpa sepengetahuan mereka?
Data Publik Nasional, yang dimiliki oleh Jerico Pictures, Inc., mengumpulkan data sebagai bisnis pemeriksaan latar belakang yang berbasis di Florida. Konsumen yang termasuk dalam basis data milik Data Publik Nasional tidak setuju untuk memberikan data mereka kepada perusahaan.
Menurut gugatan yang diajukan oleh Christopher Hofmann, kelompok penjahat siber bernama USDoD telah memposting basis data yang berisi data pribadi dari 2,9 miliar warga negara AS yang mencakup nama lengkap, nomor jaminan sosial, dan alamat di dark web. Data ini juga mencakup informasi tentang kerabat individu tersebut. Salah satu aspek unik dari data adalah sifat jangka panjang — alamat yang telah dihuni puluhan tahun dan beberapa kerabat telah meninggal selama dua dekade ini.
Kelompok peretas mematok harga pembelian basis data ini sebesar USD 3,5 juta. VX-Underground, sebuah situs web edukasi yang berfokus pada keamanan siber, mengonfirmasi bahwa informasi dalam basis data berukuran 277,1 GB itu nyata dan akurat setelah diberi tahu oleh kelompok peretas tersebut mengenai niat mereka untuk membocorkan basis data. Karena Data Publik Nasional tidak terikat oleh persyaratan CIRCIA untuk infrastruktur penting, perusahaan ini tidak diwajibkan untuk melaporkan pelanggaran dalam waktu 72 jam.
“PII yang tidak terenkripsi dan tidak disunting ini disusupi, diterbitkan, dan kemudian dijual di Dark Web, karena tindakan teledor dan/atau kecerobohan serta kelalaian Terdakwa dan kegagalan total mereka untuk melindungi data sensitif pelanggan. Peretas menargetkan dan memperoleh PII Penggugat dan Anggota Gugatan Kelompok karena nilainya dalam mengeksploitasi dan mencuri identitas Penggugat dan Anggota Gugatan Kelompok. Risiko saat ini dan kontinu pada para korban pelanggaran data akan tetap berlangsung seumur hidup mereka masing-masing," demikian isi gugatan tersebut.
Selain teledor untuk menginformasikan kepada para korban, Data Publik Nasional belum merilis pernyataan publik mengenai pelanggaran tersebut. Los Angeles Times melaporkan bahwa perusahaan menanggapi pertanyaan email dengan "Kami mengetahui adanya klaim pihak ketiga tentang data konsumen dan sedang menyelidiki masalah ini." Gugatan tersebut menyebutkan kurangnya pemberitahuan sebagai perhatian utama Penggugat.
Dalam gugatan tersebut, Hofmann meminta tindakan spesifik dari Data Publik Nasional, termasuk memberikan bantuan keuangan. Dia meminta agar Data Publik Nasional membersihkan semua PII yang disusupi. Selain itu, ia ingin perusahaan mengenkripsi semua data pada masa mendatang, menggunakan segmentasi data, memindai basis datanya, dan meluncurkan program manajemen ancaman. Selain itu, ia ingin agar evaluasi kerangka kerja keamanan siber dilakukan setiap tahun hingga 2034.
Meskipun detailnya masih berkembang, pelanggaran ini tampaknya merupakan pelanggaran data terbesar — atau salah satu yang terbesar — sepanjang masa. Karena Pelanggaran Yahoo 2013 mencakup 3 miliar akun dan pelanggaran Data Publik Nasional tampaknya mencakup 2,9 miliar orang, Yahoo mungkin masih memegang rekor setelah situasi pelanggaran terbaru ini mereda. Pemegang tempat kedua dan ketiga sebelumnya akan pindah ke posisi ketiga dan keempat setelah pelanggaran ini memecahkan rekor. Pelanggaran River City Media tahun 2017 melibatkan 1,37 miliar data, sedangkan pelanggaran Aadhaar tahun 2018 berisi 1,1 miliar data.
Ketika para pakar memprediksi keputusan dalam hal ini, banyak yang beralih ke peristiwa masa lalu untuk perbandingan. Dalam gugatan serupa yang diajukan terhadap Yahoo, Hakim Distrik AS Lucy Koh menolak penyelesaian Yahoo untuk membayar pada tahun 2019 kepada 200 juta individu yang terkena dampak dengan hampir 1 miliar akun. Koh menolak tawaran penyelesaian ini karena alasan berikut:
Konsumen harus terus memantau situasi saat ini yang berkembang untuk mengetahui apakah data mereka dilanggar. Sebagai tindakan pencegahan, individu harus memantau laporan kredit dan rekening bank mereka dengan saksama dan tidak menanggapi informasi atau permintaan akun yang tidak diminta.
“Jika ini sebenarnya menyangkut hampir seluruh berkas tentang kita semua, itu tentu jauh lebih mengkhawatirkan daripada pelanggaran sebelumnya,” ujar Teresa Murray, Direktur Pengawas Konsumen untuk Kelompok Riset Informasi Publik AS kepada Los Angeles Times. “Dan jika orang tidak mengambil tindakan pencegahan pada masa lalu, yang seharusnya mereka lakukan, ini seharusnya menjadi peringatan keras bagi mereka.”
