Pelanggaran Data Raven Hengelsport Mengekspos 18GB Data Pelanggan

  • Whatsapp
Pelanggaran Data Raven Hengelsport Mengekspos 18GB Data Pelanggan

 

Para peneliti keamanan siber dari Safety Detectives menemukan server penyimpanan Microsoft Azure Blob yang tidak aman yang terhubung ke outlet ritel Raven Hengelsport (juga disebut Raven Fishing BV), dengan PII yang mungkin dapat diakses oleh peretas jahat milik ratusan ribu konsumen.
Berkantor pusat di Dronten, Belanda adalah Raven Hengelsport, bergerak di bidang alat dan perlengkapan memancing. Sementara penawaran online Raven.nl menawarkan berbagai pilihan produk, perusahaan memiliki banyak toko penting di Belanda dan di seluruh Eropa.
Pada awal Maret, cabang keamanan siber dari situs penyaringan antivirus SafetyDetectives menemukan Server Penyimpanan Azure Blob yang tidak aman dengan 18 GB data perusahaan yang mencakup setidaknya 246.000 pengguna di lebih dari 450.000 entri. Raven menyediakan kliennya di seluruh Belanda dan Eropa dengan berbagai macam produk di industri ritel. Situs web Raven.nl berfungsi sebagai supermarket memancing untuk menyediakan segala sesuatu mulai dari barang konvensional seperti joran, rol, dan kotak tekel hingga barang dagangan yang lebih lengkap seperti tenda, perahu, dan barang-barang pakaian.
“File-file ini berisi catatan yang terdiri dari dua set data berbeda, detail pesanan, dan log PII, yang keduanya mengekspos informasi pribadi sensitif pelanggan Raven,” tulis perusahaan minggu ini menjelaskan.
Detail Pesanan Raven.nl — termasuk pengidentifikasi pelanggan, informasi pengiriman, potongan harga, biaya pengiriman, transaksi, dan nomor pelacakan pengiriman. Pelanggan PII [Personally Identified Information] – nama, nama keluarga, lokasi tempat tinggal, dan nomor telepon, email, dan bahkan gelar dari klien perusahaan tertentu juga terungkap.
Sebagian besar informasi yang bocor di server adalah informasi pelanggan dengan total 425.000 catatan di antaranya yang bocor. Data konsumen PII bocor ke beberapa baris data, beberapa bahkan menguraikan judul perusahaan pelanggan utama.
Namun demikian, situasinya sangat sulit bagi Raven, yang dikenal sebagai Raven Fishing.
“Kami segera mencoba menghubungi Raven setelah kami menemukan database terbuka, tetapi tidak menerima tanggapan dari Raven mengenai pelanggaran tersebut,” catat peneliti SafetyDetectives. “Kami kemudian mencoba menghubungi Raven melalui fitur live chat di situs web mereka.”
Tim berusaha menghubungi Raven segera setelah database terbuka terdeteksi, namun mereka tidak dijawab oleh Raven tentang pelanggaran tersebut.
Setelah itu, mereka mencoba menghubungi Raven melalui obrolan langsung di situs web mereka. Saat tim pertama kali mencoba menghubungi Raven, petugas layanan pelanggan mengakhiri percakapan langsung tanpa menjawab pernyataan mereka.
Pada upaya kedua, tim dikaitkan dengan karyawan yang sama yang mengatakan bahwa mereka tidak dapat memberikan informasi kontak tambahan. Mereka diberitahu bahwa permintaan mereka akan diteruskan ke pihak terkait dan jika Raven menganggapnya sesuai, mereka akan didekati.
SecurityDetectives juga memberi tahu Microsoft tentang kesalahan ini, namun, MSRC menolak untuk mengambil tindakan apa pun terkait server yang masih terbuka. Layanan pelanggan umum Microsoft juga ditandai sebagai “tidak membantu,” karena tidak membantu peneliti keamanan mengangkat seseorang teknis di Raven untuk melihat data diamankan.
Pelanggaran data semacam ini memiliki efek berbahaya bagi Raven dan kliennya yang tidak bersalah, yang informasi pribadinya terungkap.
Raven kemungkinan akan tunduk pada undang-undang perlindungan data UE (GDPR), yang dapat membebankan biaya hingga €20 juta di wilayah perusahaan atau 4% dari omset tahunan Raven (mana yang lebih besar). Namun, ini adalah cara terbaik untuk menangani pelanggaran data. Jika GDPR memutuskan untuk menjatuhkan sanksi, usaha kecil dan menengah lebih mungkin mendapatkan hukuman ringan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *