Kebocoran data pencurian catatan telepon milik 'hampir seluruh' pelanggan AT&T

 (techcrunch.com)
1 poin oleh GN⁺ 2024-07-13 | 1 komentar | Bagikan ke WhatsApp

Insiden kebocoran data pelanggan AT&T

  • Insiden kebocoran data AT&T

    • AT&T mengonfirmasi bahwa penjahat siber mencuri catatan telepon milik hampir semua pelanggannya
    • Data yang dicuri mencakup nomor telepon, catatan panggilan dan pesan, serta data terkait lokasi dari jutaan pelanggan AT&T

  • Isi data yang dicuri

    • Mencakup nomor telepon serta catatan panggilan dan pesan dari pelanggan kabel dan nirkabel
    • Tidak mencakup isi percakapan telepon maupun pesan
    • Mencakup metadata catatan panggilan dan pesan (jumlah panggilan dan pesan, waktu panggilan, dll.)
    • Sebagian data juga mencakup catatan setelah 2 Januari 2023

  • Dampak data yang bocor

    • Sekitar 110 juta pelanggan AT&T akan diberi pemberitahuan
    • Juga mencakup catatan panggilan pelanggan operator lain
    • Sebagian data mencakup nomor identifikasi situs sel yang dapat digunakan untuk pelacakan lokasi

  • Penyebab insiden kebocoran

    • AT&T menyadari kebocoran data pada 19 April
    • Data dicuri dari perusahaan data cloud Snowflake
    • Kebocoran terjadi karena Snowflake tidak menggunakan autentikasi multifaktor
    • Mandiant melaporkan bahwa data dari sekitar 165 pelanggan Snowflake dicuri

  • Respons hukum

    • AT&T bekerja sama dengan penegak hukum untuk menangkap para penjahat siber
    • FBI dan DOJ menunda pengumuman dua kali dengan alasan risiko terhadap keamanan nasional dan keselamatan publik

  • Insiden sebelumnya

    • AT&T juga mengalami kebocoran informasi akun pelanggan pada awal tahun ini

Ringkasan GN⁺

  • Insiden kebocoran data AT&T berdampak pada sekitar 110 juta pelanggan
  • Penyebab utama kebocoran data adalah celah keamanan akibat Snowflake tidak menggunakan autentikasi multifaktor
  • Insiden ini menimbulkan persoalan serius terkait perlindungan privasi pelanggan
  • Layanan data cloud lain dengan fungsi serupa antara lain AWS dan Google Cloud

Bacaan terkait

1 komentar

 
GN⁺ 2024-07-13
Komentar Hacker News

  • Bahkan jika 110 juta pelanggan AT&T hanya menghabiskan tambahan 1 menit untuk mengelola akun mereka, lebih dari 209 tahun waktu akan terbuang

    • Hukum terkait kebocoran data harus dibuat lebih kuat
    • Alasan perusahaan hanya mengambil langkah keamanan minimal adalah karena hampir tidak ada hukuman nyata atas kebocoran
    • Perusahaan harus dimintai pertanggungjawaban, dan orang-orang yang menyebabkan kebocoran karena kelalaian harus dikenai sanksi pidana
    • Denda besar harus dijatuhkan agar pimpinan perusahaan dan para pemegang saham merasakan konsekuensi nyata

  • Insiden kebocoran data Snowflake adalah kebocoran data yang dijual ke mitra pemasaran, bukan dari sisi operasional AT&T

    • Misi Snowflake adalah meruntuhkan silo data, mengatasi kompleksitas, dan memungkinkan kolaborasi data yang aman
    • Di Eropa, penyimpanan data seperti ini ilegal dan juga tidak selaras dengan Konvensi Eropa tentang Hak Asasi Manusia
    • Penyedia layanan tidak perlu menyimpan data seperti ini, dan cukup mudah untuk melarangnya lewat hukum

  • Saya menutup akun AT&T 10 tahun lalu, tetapi alamat, nama, dan SSN saya masih disimpan

    • Tidak masuk akal bahwa tidak ada hukum untuk menghukum organisasi yang tidak kompeten

  • Saham AT&T pulih setelah sempat turun -2,6% pada awalnya, sementara Snowflake turun -3,9%

    • Pasar menganggap AT&T kebal

  • Menurut artikel TechCrunch, pengenal situs seluler juga disertakan, sehingga perkiraan lokasi pun ikut bocor

  • Konsumen sudah mati rasa terhadap kebocoran data sehingga hampir tidak ada kemarahan

    • Tanpa kemarahan konsumen, perusahaan tidak punya motivasi untuk berupaya lebih keras mencegah kebocoran data

  • Awal tahun ini, SSN bocor ke dark web

    • Pemantauan selama 1 tahun tidak cukup; yang dibutuhkan adalah pemantauan seumur hidup
    • Tidak ada insentif nyata untuk keamanan
    • Mereka harus dipaksa membayar biaya pemantauan tanpa batas waktu

  • Perusahaan seperti AT&T kebal terhadap pencurian identitas

    • EIN perusahaan memang bersifat publik, tetapi itu tidak bisa dipakai untuk melakukan pencurian identitas atau penipuan kartu kredit

  • Data harus dihapus seiring waktu

    • Hampir tidak ada kebutuhan bagi pelanggan untuk melihat siapa yang menelepon tahun lalu
    • Kecuali untuk hal seperti penyelidikan kriminal atau aktivitas spionase, pelanggan tidak punya hak untuk menentukan lama penyimpanan data dan bagaimana data itu digunakan
    • Perusahaan harus menyediakan alat dan fitur agar pelanggan dapat mengelola data mereka sendiri