Pelanggaran T-Mobile Jauh Lebih Buruk Dari Seharusnya


Dalam sebuah email semalam, T-Mobile membagikan rincian tentang pelanggaran data yang dikonfirmasi Senin sore. Mereka tidak hebat. Berbagai macam data dari lebih dari 48 juta orang telah dikompromikan, dan sementara itu kurang dari 100 juta yang awalnya diiklankan oleh peretas, sebagian besar dari mereka yang terpengaruh ternyata bukan pelanggan T-Mobile saat ini sama sekali.

Sebaliknya, T-Mobile mengatakan bahwa dari orang-orang yang datanya dikompromikan, lebih dari 40 juta adalah mantan atau calon pelanggan yang telah mengajukan kredit dengan operator. 7,8 juta lainnya adalah pelanggan “pascabayar” saat ini, yang berarti pelanggan T-Mobile yang ditagih pada akhir setiap bulan. Sekitar 48 juta pengguna tersebut memiliki nama lengkap, tanggal lahir, nomor jaminan sosial, dan informasi SIM mereka yang dicuri. 850.000 pelanggan prabayar tambahan—yang mendanai akun mereka di muka—nama, nomor telepon, dan PIN mereka terungkap. Penyelidikan sedang berlangsung, yang berarti penghitungan mungkin tidak berhenti di situ.

Tidak ada kabar baik di sini, tetapi berita yang sedikit kurang buruk adalah bahwa sebagian besar pelanggan tampaknya tidak memiliki nomor telepon, nomor rekening, PIN, kata sandi, atau informasi keuangan mereka yang diambil dalam pelanggaran tersebut. Namun, pertanyaan yang lebih besar adalah apakah T-Mobile benar-benar perlu menyimpan informasi sensitif seperti itu dari 40 juta orang yang saat ini tidak berbisnis dengannya. Atau jika perusahaan akan menimbun data itu, mengapa tidak mengambil tindakan pencegahan yang lebih baik untuk melindunginya.

“Secara umum, masih Wild West di Amerika Serikat dalam hal jenis informasi yang dapat disimpan perusahaan tentang kita,” kata Amy Keller, mitra di firma hukum DiCello Levitt Gutzler yang memimpin gugatan class action terhadap Equifax setelah pelanggaran biro kredit 2017. “Saya terkejut dan saya juga tidak terkejut. Saya kira Anda bisa mengatakan saya frustrasi. ”

Pendukung privasi telah lama mempromosikan konsep minimisasi data, praktik yang cukup jelas yang mendorong perusahaan untuk menyimpan informasi sesedikit yang diperlukan. Peraturan Perlindungan Data Umum Eropa mengkodifikasikan praktik tersebut, yang mengharuskan data pribadi “memadai, relevan, dan terbatas pada apa yang diperlukan sehubungan dengan tujuan pemrosesannya.” AS saat ini tidak memiliki padanan di buku. “Undang-undang privasi di Amerika Serikat yang menyentuh minimalisasi data umumnya tidak mengharuskannya,” kata Keller, “dan malah merekomendasikannya sebagai praktik terbaik.”

Sampai dan kecuali AS mengadopsi undang-undang privasi omnibus yang mirip dengan GDPR—atau undang-undang tingkat negara bagian seperti California Consumer Privacy Act mulai mengambil garis yang lebih keras—minimalisasi data akan tetap menjadi konsep asing. “Secara umum, mengumpulkan dan menyimpan data sensitif calon pelanggan dan mantan pelanggan bukanlah tindakan penipuan konsumen menurut hukum AS, dan merupakan hal rutin,” kata David Opderbeck, salah satu direktur Institut Hukum, Sains, dan Teknologi Universitas Seton Hall. Meskipun tampaknya tidak pantas bagi T-Mobile untuk menyimpan catatan terperinci tentang jutaan orang yang mungkin tidak pernah menjadi pelanggan mereka, tidak ada yang dapat menghentikannya untuk melakukannya, selama ia mau.

Sekarang mantan dan calon pelanggan itu, bersama dengan jutaan pelanggan T-Mobile saat ini, mendapati diri mereka menjadi korban pelanggaran data yang tidak dapat mereka kendalikan. “Risiko pertama adalah pencurian identitas,” kata John LaCour, pendiri dan CTO perusahaan perlindungan risiko digital PhishLabs. “Informasi tersebut mencakup nama, nomor jaminan sosial, ID SIM: semua informasi yang diperlukan untuk mengajukan kredit sebagai seseorang.”

Peretasan itu juga berpotensi membuat lebih mudah untuk melakukan apa yang disebut serangan pertukaran SIM, kata LaCour, terutama terhadap pelanggan prabayar yang PIN dan nomor teleponnya terbuka. Dalam pertukaran SIM, peretas mem-port nomor Anda ke perangkat mereka sendiri, biasanya agar mereka dapat mencegat kode otentikasi dua faktor berbasis SMS, sehingga lebih mudah untuk membobol akun online Anda. T-Mobile tidak menanggapi pertanyaan dari WIRED mengenai apakah nomor Identitas Peralatan Seluler Internasional juga terlibat dalam pelanggaran tersebut; setiap perangkat seluler memiliki IMEI unik yang juga bernilai bagi para penukar SIM.

T-Mobile telah menerapkan beberapa tindakan pencegahan atas nama para korban. Layanan ini menawarkan layanan perlindungan identitas selama dua tahun dari Layanan Perlindungan Pencurian ID McAfee, dan telah menyetel ulang PIN dari 850.000 pelanggan prabayar yang telah terpapar. Ini merekomendasikan tetapi tidak mewajibkan bahwa semua pelanggan pascabayar saat ini mengubah PIN mereka juga, dan menawarkan layanan yang disebut Perlindungan Pengambilalihan Akun untuk membantu menghalangi serangan SIM-swap. Ia juga berencana untuk menerbitkan situs untuk “informasi satu atap” Rabu, meskipun perusahaan tidak mengatakan apakah itu akan menawarkan segala jenis pencarian untuk melihat apakah Anda terpengaruh oleh pelanggaran tersebut.

Diposting oleh : SGP Prize