Pelanggaran Data Alert 360: 2,5 Juta Rekaman Dibocorkan oleh ShinyHunters

Sebuah Perusahaan Keamanan Besar Baru Saja Mengalami Masalah Keamanan yang Besar

Alert 360, penyedia keamanan rumah dan bisnis terbesar kelima di Amerika Serikat, dilaporkan menjadi korban pelanggaran data yang signifikan. Kelompok peretas ShinyHunters mengklaim bertanggung jawab atas pencurian 2,5 juta rekaman dari perusahaan tersebut dan pada akhirnya membuang data itu di dark web setelah negosiasi tebusan gagal. Informasi yang bocor mencakup informasi pengenal pribadi (PII) beserta data korporat internal, menciptakan risiko paparan serius bagi basis pelanggan perusahaan yang besar.

Insiden ini mencolok bukan hanya karena skalanya, tetapi juga karena apa yang dikatakannya tentang kondisi keamanan data secara lebih luas. Jika sebuah perusahaan yang bisnis intinya adalah melindungi orang dan properti tidak dapat mengamankan data pelanggannya sendiri, hal itu menimbulkan pertanyaan-pertanyaan sulit tentang bagaimana setiap organisasi menangani informasi sensitif yang mereka kumpulkan.

Siapa ShinyHunters dan Mengapa Mereka Penting?

ShinyHunters bukan nama baru di kalangan keamanan siber. Kelompok ini telah dikaitkan dengan serangkaian pelanggaran data berprofil tinggi selama beberapa tahun terakhir, menargetkan perusahaan-perusahaan di berbagai industri dan wilayah geografis. Pola khas mereka melibatkan penyusupan ke target, pengekstrakan data dalam jumlah besar, permintaan pembayaran tebusan, dan publikasi data secara publik ketika negosiasi gagal atau tidak ada pembayaran yang dilakukan.

Langkah terakhir itulah, yaitu mempublikasikan data, yang mengubah sebuah pelanggaran dari masalah korporat yang terkendali menjadi risiko konsumen yang meluas. Begitu rekaman-rekaman itu mendarat di forum dark web, rekaman tersebut menjadi dapat diakses oleh berbagai pelaku jahat, mulai dari pencuri identitas hingga operator phishing. Data tersebut tidak hilang setelah diposting; data itu beredar, dijual kembali, dan terus menimbulkan kerugian lama setelah insiden awal menghilang dari berita utama.

Gagalnya negosiasi tebusan dalam kasus ini berarti bahwa apa pun keuntungan yang mungkin dimiliki Alert 360 untuk membatasi paparan tersebut kini telah hilang. Datanya sudah keluar.

Jenis Data Apa yang Terekspos?

Laporan mengindikasikan bahwa kumpulan data yang bocor mencakup informasi pengenal pribadi, sebuah kategori luas yang biasanya mencakup nama, alamat, nomor telepon, alamat email, detail akun, dan berpotensi rekaman yang lebih sensitif tergantung pada apa yang disimpan oleh perusahaan. Data korporat internal juga dilaporkan termasuk dalam kebocoran tersebut.

Bagi pelanggan penyedia keamanan rumah atau bisnis, implikasinya melampaui kekhawatiran biasa tentang pelanggaran ritel atau media sosial. Orang-orang yang menggunakan layanan keamanan seringkali telah berbagi informasi terperinci tentang rumah, bisnis, jadwal, dan sistem akses fisik mereka. Sifat hubungan tersebut berarti data yang dipegang oleh perusahaan-perusahaan ini dapat lebih sensitif secara kontekstual daripada sekadar daftar alamat email.

Pada tahap ini, Alert 360 belum merilis pernyataan publik yang komprehensif yang merinci rekaman mana saja yang telah dikompromikan atau berapa banyak pelanggan yang langsung terdampak. Kurangnya kejelasan itu sendiri merupakan kekhawatiran bagi siapa pun yang pernah menjadi pelanggan perusahaan tersebut.

Apa Artinya Ini Bagi Anda

Pelanggaran ini merupakan ilustrasi nyata dari masalah yang memengaruhi semua orang yang berbagi data pribadi dengan organisasi mana pun: Anda memiliki kendali yang sangat terbatas atas apa yang terjadi pada data tersebut setelah meninggalkan tangan Anda. Anda dapat memilih kata sandi yang kuat dan menggunakan autentikasi dua faktor pada akun Anda sendiri, tetapi Anda tidak dapat mengendalikan praktik keamanan setiap perusahaan yang menyimpan informasi Anda.

Kenyataan itu membuat penting untuk memikirkan cara Anda mengelola jejak data pribadi Anda secara lebih luas. Beberapa langkah praktis layak untuk dipertimbangkan setelah insiden seperti ini.

Pantau akun dan kredit Anda. Jika Anda adalah atau pernah menjadi pelanggan Alert 360, awasi dengan cermat akun keuangan Anda dan pertimbangkan untuk menempatkan peringatan penipuan atau pembekuan kredit pada biro kredit utama. Ini tidak memerlukan biaya apa pun dan dapat mencegah jalur kredit baru dibuka atas nama Anda tanpa sepengetahuan Anda.

Waspadai upaya phishing. PII yang bocor sering digunakan untuk membuat email phishing dan pesan teks yang meyakinkan. Bersikaplah skeptis terhadap komunikasi tak diminta apa pun yang merujuk pada akun Anda, sistem keamanan rumah Anda, atau meminta Anda untuk mengklik tautan atau memberikan kredensial login.

Gunakan kata sandi unik dan pengelola kata sandi. Jika Anda menggunakan kembali kata sandi di berbagai akun, pelanggaran di satu perusahaan dapat berantai menjadi akses tidak sah di tempat lain. Pengelola kata sandi memudahkan untuk mempertahankan kredensial unik untuk setiap layanan.

Pertimbangkan data apa yang Anda bagikan ke depannya. Tidak setiap layanan membutuhkan nama lengkap, alamat rumah, dan nomor telepon Anda. Jika memungkinkan, batasi informasi yang Anda berikan hanya pada apa yang benar-benar diperlukan.

Periksa basis data pemberitahuan pelanggaran. Layanan yang mengagregasi data pelanggaran dapat memberi tahu Anda apakah alamat email Anda telah muncul dalam kebocoran yang diketahui, memberi Anda sinyal awal untuk mengganti kredensial dan tetap waspada.

Pelanggaran Alert 360 merupakan pengingat bahwa tidak ada perusahaan yang kebal terhadap serangan, termasuk mereka yang bergerak di bidang keamanan itu sendiri. Pertahanan terbaik yang tersedia bagi individu adalah tetap terinformasi, bertindak cepat ketika pelanggaran diumumkan, dan mengambil langkah-langkah konsisten untuk membatasi kerugian yang dapat ditimbulkan oleh data yang bocor. Melindungi informasi pribadi Anda membutuhkan perhatian yang berkelanjutan, bukan pengaturan satu kali.