CakapCakap – Cakap People! CEO Malindo Air Chandran Rama Muthy akhirnya mengakui terjadi pembocoran data penumpang secara besar-besaran seperti paspor, alamat rumah, nomor telepon ke forum pertukaran data pada Agustus 2019 lalu.
Menurut Chandran, Malindo Air tengah melakukan investigasi tentang masalah ini. Masalah ini pun sudah disampaikan ke Komisi Komunikasi dan Multimedia Malaysia pada Selasa, 17 September 2019.
“Kami mengetahui tentang pelanggaran ini minggu lalu. Kami dan vendor pihak ketiga sedang memeriksa, dan akan segera membuat pernyataan. Kami akan memberi tahu penumpang sesuai dengan hasil penyelidikan,” katanya kepada South China Morning Post dan Asia One, 18 September 2019.
https://www.instagram.com/p/BMp1Xbpjr68/?igshid=11fs8vdkfynct
Chandran mengatakan bahwa Malindo Air juga akan menyewa perusahaan cybersecurity independen untuk melakukan analisis forensik penuh mengenai sifat kebocoran.
“Ini pelanggaran yang sangat serius.”
Kasus pembocoran data ini terungkap setelah file-file penumpang yang terbang dengan Thai Lion Air dan Malindo Air, anak perusahaan Lion Air, diunggah dan disimpan dalam ember Amazon Web Services yang terbuka, sumber penyimpanan cloud publik.
File yang berjudul rincian penumpang atau penumpang, berisi nama lengkap, alamat rumah, alamat email, tanggal lahir, nomor telepon, nomor paspor, dan tanggal masa berlaku paspor.
Empat file, dua milik Malindo Airlines dan dua milik Thai Lion Air, dibuang secara online oleh seorang tokoh yang dikenal sebagai Specter, yang mengoperasikan situs darkweb yang menerbitkan tautan unduhan untuk data yang bocor dan meretas basis data.
Ada juga referensi ke Batik Air, anak perusahaan Lion Air ketiga yang berbasis di Jakarta.
Data tersebut dibuang secara berkelompok pada layanan pesan instan Telegram, serta pada penyimpanan cloud dan layanan hosting file seperti mega.nz dan openload.cc, yang masih berisi tautan aktif ke database ini.
Tim pakar Cybersecurity Nandakishore Harikumar menemukan catatan saat memantau forum ini ketika dia menjalankan operasi keselamatan data untuk klien.
“Ketika menilai beberapa dari mereka, kami menemukan bahwa situs web Spectre memiliki tempat pembuangan baru milik Malindo Airlines. Kami mengakses tempat pembuangan, memverifikasi data dan memahami bahwa itu berisi informasi sensitif. Kami menilai tingkat keparahan dan berusaha memahami di mana semua data sedang dijual, “kata Nandakishore, CEO startup cybersecurity India Technisanct.
Meskipun perusahaannya menghubungi Malindo Air, namun tidak ada jawaban.
https://www.instagram.com/p/BEC21xZP4ev/?igshid=2l10cnok2z6s
Pengacara hukum dan teknologi dunia maya Foong Cheng Leong mengatakan bahwa perusahaan yang melanggar Undang-Undang Perlindungan Data Pribadi Malaysia tidak memiliki kewajiban hukum untuk memberi tahu pihak berwenang, publik, atau korban kebocoran, meskipun kekosongan ini sedang ditinjau.
“Tidak ada aturan pemberitahuan pelanggaran data di Malaysia berdasarkan Undang-Undang ini. Namun, tentu saja ada kewajiban moral dari pihak perusahaan untuk memberi tahu subjek dan publik,” kata Foong.
Dalam sebuah pernyataan yang dirilis pada Rabu, 18 September 2019, Malindo Air mengakui bahwa beberapa data pribadi tentang penumpang mereka yang dihosting di lingkungan berbasis cloud mungkin telah dikompromikan. Dikatakan bahwa tim internal, bersama dengan penyedia layanan data eksternal Amazon Web Services dan mitra e-commerce GoQuo, sedang menyelidiki pelanggaran pembocoran data tersebut.