Kebocoran Data 20 Juta Pengguna Instant Checkmate dan TruthFinder

Dua layanan pemeriksa latar belakang yang dimiliki PeopleConnect, yaitu Instant Checkmate dan TruthFinder, telah mengungkapkan pelanggaran data yang mempengaruhi lebih dari 20 juta pengguna.

Dalam pemberitahuan pelanggaran data yang diterbitkan pada tanggal 3 Februari, organisasi tersebut memberitahukan pengguna bahwa insiden ini terungkap setelah para penjahat dunia maya mulai berbagi basis data yang dicuri dari kedua perusahaan tersebut di forum-forum bawah tanah.

Basis data - atau 'daftar', sebagaimana disebut oleh kedua perusahaan ini - berisi nama, alamat email, nomor telepon, kata sandi terenkripsi, dan token pengaturan ulang kata sandi yang sudah kedaluwarsa atau tidak aktif.

Meskipun Instant Checkmate dan TruthFinder juga mencatat bahwa tidak ada "kata sandi yang bisa dibaca atau digunakan atau cara lain untuk mengorbankan akun pengguna" yang bocor, tidak jarang bagi para penjahat dunia maya untuk mencoba membobol kata sandi terenkripsi yang dicuri.

Kronologi Kejadian:

• Pada Februari 2023, Instant Checkmate dan TruthFinder, penyedia layanan background check milik PeopleConnect, mengumumkan kebocoran data yang mempengaruhi lebih dari 20 juta pengguna.
• Kebocoran tersebut ditemukan setelah pelaku kejahatan siber mulai membagikan database curian di forum gelap.
• Database yang bocor, disebut "list" oleh kedua perusahaan, berisi nama, email, nomor telepon, password terenkripsi, dan token reset password yang kedaluwarsa.
• Investigasi internal tidak menemukan bukti aktivitas mencurigakan di jaringan mereka, dan perusahaan mengklaim kebocoran terjadi karena "inadvertent leak or theft" (kebocoran atau pencurian yang tidak disengaja).
• Data yang bocor tidak mencakup aktivitas pengguna atau informasi pembayaran, namun tetap disarankan untuk waspada terhadap komunikasi mencurigakan.

Investigasi diluncurkan atas kedua insiden tersebut, tetapi tidak ada bukti aktivitas berbahaya yang ditemukan sampai saat ini di jaringan mereka. Menurut kedua pengumuman tersebut, pelanggaran data ini merupakan hasil dari "kebocoran atau pencurian yang tidak disengaja" dari basis data yang terdampak.

Meskipun baik Instant Checkmate maupun TruthFinder tidak membagikan informasi tentang jumlah individu yang terkena dampak, data tersebut telah ditambahkan ke layanan pemberitahuan pelanggaran Have I Been Pwned milik Troy Hunt.

Basis data yang bocor tersebut mencakup informasi dari lebih dari 11,9 juta akun Instant Checkmate, dan rincian lebih dari 8,1 juta akun TruthFinder.

Insiden pelanggaran data di Instant Checkmate dan TruthFinder menyoroti kerentanan yang ada dalam infrastruktur keamanan data, bahkan di perusahaan-perusahaan besar yang menangani informasi sensitif. Dari perspektif seorang pakar keamanan siber, ada beberapa pelajaran yang dapat dipetik dari insiden ini:

1. Perlunya Perlindungan Data yang Kuat: Perusahaan harus memprioritaskan perlindungan data pengguna dengan mengimplementasikan tindakan keamanan yang kuat, termasuk enkripsi data, kontrol akses yang ketat, dan pemantauan kegiatan yang mencurigakan.

2. Kepatuhan Terhadap Standar Keamanan: Penting bagi perusahaan untuk mematuhi standar keamanan yang relevan, seperti ISO 27001, untuk memastikan bahwa sistem mereka memenuhi standar keamanan yang ditetapkan secara internasional.

3. Pentingnya Respons Tanggap: Perusahaan harus siap merespons dengan cepat jika terjadi pelanggaran data, dengan melakukan investigasi menyeluruh dan memberikan informasi yang jelas kepada pengguna tentang langkah-langkah yang diambil untuk melindungi data mereka.

4. Transparansi dan Komunikasi: Komunikasi yang jelas dan transparan kepada pengguna tentang pelanggaran data dan langkah-langkah yang diambil perusahaan adalah kunci untuk membangun kepercayaan.

5. Investasi dalam Keamanan Sistem: Perusahaan harus terus menginvestasikan sumber daya dalam keamanan sistem dan infrastruktur untuk mengurangi risiko pelanggaran data di masa depan.

Dengan menerapkan langkah-langkah ini, perusahaan dapat memperkuat pertahanan mereka terhadap ancaman cyber dan melindungi data pengguna dengan lebih efektif.

Semoga informasi ini bermanfaat dan membantu kita semua menjadi lebih waspada terhadap risiko keamanan siber. Kasus kebocoran data TruthFinder dan Instant Checkmate menjadi pengingat penting bagi Indonesia tentang pentingnya perlindungan data pribadi dan penerapan standar keamanan siber yang memadai. Dengan belajar dari kasus ini, kita dapat membangun ekosistem digital yang lebih aman dan terpercaya.