Wah, 57 Juta Data Pelanggan dan Pengemudi Uber Diretas

Ikuti kami di Google Berita

Uber mengungkapkan pada Selasa kemarin (21/11/2017) bahwa data pribadi 57 juta pelanggan dan pengemudi Uber telah diretas.

Informasi yang dicuri mencakup nama, alamat rumah, nomor telepon seluler dan email dari 50 juta pelanggan Uber di seluruh dunia. Peretasan tersebut juga mengakses data SIM pengemudi dan informasi lainnya untuk sekitar 7 juta pengemudi, termasuk 600.000 di A.S.

Namun pihak Uber mengatakan tidak ada nomor Jaminan Sosial, nomor kartu kredit, nomor rekening bank, tanggal lahir atau data lokasi kunjungan yang dicuri. Sejauh ini belum ditemukan bukti adanya penyalahgunaan akun-akun yang terkait dengan peretasan tersebut. Uber mengatakan bahwa pihaknya terus memantau akun yang terkena dampak jika ditemukan tanda-tanda penyalahgunaan.

“Kami pikir para pelanggan tidak perlu melakukan tindakan apapun,” kata Uber, tapi mendorong pengguna layanan agar memantau kartu kredit dan akun mereka lainnya.

Bloomberg pertama kali melaporkan berita tentang peretasan tersebut, yang berlangsung pada bulan Oktober 2016. Kantor berita tersebut juga mengatakan Uber menyembunyikan serangan tersebut selama lebih dari satu tahun.

Pada saat kejadian tersebut, Uber bernegosiasi dengan pihak yang berwenang di A.S. untuk menyelidiki klaim pelanggaran privasi secara terpisah. Uber sekarang mengatakan bahwa mereka memiliki kewajiban hukum untuk melaporkan peretasan ke pihak yang berwenang dan pengemudi yang nomor SIM-nya diambil. Yang mengejutkan, perusahaan telah membayar peretas (hacker) untuk menghapus data-data yang dicurinya namun tetap merahasiakan kejadian tersebut. Uber mengatakan pihaknya yakin informasi yang dicuri tersebut tidak pernah disalahgunakan namun menolak untuk mengungkapkan identitas peretasnya.

“Tak satu pun dari hal ini seharusnya terjadi, dan saya tidak akan membuat alasan untuk itu,” Dara Khosrowshahi, yang dinobatkan sebagai CEO pada bulan September, mengatakan dalam sebuah pernyataan. “Sementara saya tidak dapat menghapus masa lalu, saya dapat melakukan atas nama setiap karyawan Uber bahwa kita akan belajar dari kesalahan kami.”

Dalam sebuah pernyataan, Khosrowshahi mengakui bahwa Uber tidak menginformasikan pada waktu yang seharusnya kepada para pengguna Uber bahwa data mereka telah dicuri, lebih lanjut dia mengatakan bahwa penyelidikan atas kejadian tersebut baru saja dimulai dan bagaimana cara Uber menanganinya.

Eksekutif tersebut mengatakan bahwa dia “baru-baru ini” mengetahui bahwa Uber pada akhir 2016 menemukan bahwa dua orang di luar perusahaan mengakses data pengguna yang berada di layanan cloud internet pihak ketiga. Peretasan tidak menembus sistem perusahaan Uber atau infrastrukturnya, katanya.

“Pada saat kejadian, kami segera mengambil langkah untuk mengamankan data dan menutup akses oleh individu yang tidak sah” kata Khosrowshahi. “Kami kemudian mengidentifikasi individu dan memperoleh jaminan bahwa data yang telah diunduh telah dimusnahkan.”

Namun seorang sumber yang mengetahui kejadian tersebut dan dengan penyelidikan awal Uber mengatakan kepada CBS News ‘Andres Triay bahwa perusahaan tersebut membayar $100.000 (sekitar Rp1,35 miliar) kepada peretas yang mencuri data dan meminta mereka untuk menghapusnya. Tidak bisa dipastikan apakah itu benar terjadi. Uber juga tidak melaporkan pelanggaran terhadap penegakan hukum pada saat itu.

Hacker telah berhasil menyusup banyak perusahaan dalam beberapa tahun terakhir. Pelanggaran Uber, yang meski dalam skala besar, teralihkan oleh kejadian serupa yang meretas Yahoo, MySpace, Target Corp., Anthem Inc. dan Equifax Inc. Yang lebih mengkhawatirkan adalah tindakan ekstrim yang dilakukan Uber untuk menyembunyikan serangan tersebut. Pelanggaran tersebut merupakan skandal terbaru yang diwarisi Khosrowshahi dari pendahulunya, Travis Kalanick.

Khosrowshahi mengatakan dua karyawan Uber yang memimpin respons perusahaan terhadap serangan cyber tersebut telah keluar dari perusahaan tersebut, efektif pada Selasa (21/11/2017). Bloomberg melaporkan bahwa Chief Executive Officer (CEO) Uber Joseph Sullivan dan salah satu deputinya telah dipecat sehubungan dengan skandal tersebut.

Hukum di beberapa negara bagian dan federal di A.S. mengharuskan perusahaan untuk memberi peringatan kepada orang-orang dan agen pemerintah saat terjadi peretasan data sensitif. Uber mengatakan bahwa mereka wajib melaporkan peretasan informasi SIM pengemudi tapi tidak melakukannya.

Beginilah cara peretasan dilakukan: Dua peretas mengakses situs pengkodean pribadi GitHub yang digunakan oleh teknisi perangkat lunak Uber dan kemudian menggunakan data kredensial login yang mereka dapatkan di sana untuk mengakses data yang tersimpan di akun Amazon Web Services yang menangani tugas komputasi untuk perusahaan. Dari situlah, para peretas menemukan arsip pengguna/pelanggan Uber dan informasi pengemudi. Kemudian, mereka mengirim email kepada Uber untuk meminta uang tebusan, demikian dikatakan perusahaan tersebut.

Uber mengatakan pihaknya kini memperketat keamanan untuk sistem penyimpanan berbasis cloud dan mengatakan telah mempekerjakan Matt Olsen, mantan penasihat umum di National Security Agency (NSA) dan direktur Pusat Kontraterorisme Nasional, sebagai penasihat. Dia akan membantu perusahaan merestrukturisasi tim keamanannya. Uber mempekerjakan Mandiant, sebuah firma keamanan dunia maya milik FireEye Inc., untuk menyelidiki kejadian peretasan tersebut.

Sumber: CBS News dan Bloomberg