Investigasi pengawas privasi melihat ke dalam pelanggaran data Cyberport, yang terjadi pada Agustus tahun lalu.

Investigasi menemukan pelanggaran tersebut melibatkan data pribadi 13.632 orang, 8.000 di antaranya memiliki hubungan kerja dengan perusahaan, termasuk 5.292 pelamar yang gagal dan mantan karyawan. Lainnya adalah staf manajerial, magang dan mitra bisnis.

Data pribadi yang dicuri termasuk nama, serta nomor KTP dan paspor, sementara beberapa korban memiliki informasi keuangan mereka seperti nomor rekening bank, laporan medis, foto, tanggal lahir, akun media sosial dan informasi akademik bocor.

Tiga belas sistem Windows dan dua server virtual dikompromikan.

Chung mengatakan Cyberport melanggar dua prinsip undang-undang perlindungan data pribadi dengan tidak menjaga keamanan informasi dan menyimpannya selama periode penyimpanan yang dimaksudkan, yang menjamin pemberitahuan penegakan hukum.

“Kasus paling awal yang kami ketahui berasal dari tahun 2016, ketika orang yang bersangkutan telah mencari pekerjaan di perusahaan, tetapi data mereka disimpan sejak itu, sampai insiden itu terjadi,” kata Chung.

Komisaris menambahkan bahwa kebijakan penyimpanan data Cyberport menetapkan bahwa informasi pribadi pencari kerja akan disimpan selama satu tahun setelah aplikasi mereka, sedangkan staf hanya akan disimpan selama masa kerja mereka.

Tetapi pusat teknologi tidak dapat menjelaskan mengapa mereka menyimpan ribuan file mantan kandidat dan staf di luar periode penyimpanan yang dimaksudkan.

“[Cyberport] hanya menemukan penyimpanan data yang tidak perlu setelah penemuan insiden pelanggaran data, sehingga mereka tidak dapat memberikan penjelasan karena gagal menghapus data yang dimaksud,” kata Chung.

“Namun, poin penting dari penyelidikan kami bukanlah mengapa mereka gagal melakukannya, tetapi mereka gagal melakukannya. Hasil akhirnya adalah apa yang kami cari, dan [yang] menunjukkan pelanggaran terhadap Undang-Undang Data Privasi.”

Cyberport kehilangan lebih dari 400GB data, termasuk informasi rekening bank dan soft copy kartu ID, dalam serangan cyber tetapi tidak mengungkapkan jumlah korban tahun lalu.

Perusahaan hanya mengungkapkan insiden itu pada bulan September, ketika platform informasi cybersecurity FalconFeedsio mengatakan di halaman media sosialnya bahwa kelompok ransomware Trigona telah menambahkan Cyberport ke daftar korbannya.

Chung mengungkapkan bahwa Trigona pertama kali mendapatkan akses ke akun administrator jaringan Cyberport pada 6 Agustus melalui serangan brute force, di mana peretas akan mencoba menebak kata sandi akun. Peretas kemudian melanjutkan untuk menonaktifkan perangkat lunak antivirus Cyberport sebelum meluncurkan serangan lebih lanjut.

Delapan hari kemudian pada 14 Agustus, Cyberport melihat file-filenya diserang dan dienkripsi dengan jahat. Ia mencoba memperbaiki situasi dengan mengubah kata sandi untuk semua akun.

Tetapi pada 17 Agustus, perusahaan menerima permintaan Trigona untuk pembayaran tebusan sebelum diserang keesokan harinya.

Investigasi pengawas juga menemukan banyak celah dan kesalahan dalam langkah-langkah keamanan siber perusahaan, dari perlindungan yang tidak memadai hingga persyaratan kebijakan yang tidak jelas.

Di antara 13 sistem Windows yang dikompromikan, salah satunya ditemukan telah digunakan tanpa penilaian risiko keamanan siber atau audit keamanan sebelumnya.

Cyberport juga ditemukan mengandalkan satu program antivirus untuk melindungi jaringannya yang luas, yang Chung sebut “tidak memadai dan tidak proporsional”.

Otentikasi multi-faktor, yang mengharuskan pengguna untuk memberikan dua atau lebih potongan informasi yang berbeda untuk mendapatkan akses ke sistem komputer, juga tidak digunakan.

Chung mengatakan bahwa ketidakcukupan memungkinkan peretas Trigona untuk mendapatkan kendali penuh atas akun administrator setelah mereka menebak kata sandi yang benar selama serangan brute force mereka pada bulan Agustus.

Investigasi juga menunjukkan bahwa audit keamanan terbaru Cyberport berlangsung pada akhir tahun 2021, lebih dari setahun sebelum pelanggaran, yang membuat pengawas privasi mengkritik praktik perusahaan dalam melakukan penilaian keamanan setiap dua tahun.

Chung juga mengatakan kebijakan keamanan jaringan Cyberport terlalu umum, tidak memiliki pedoman operasional untuk diikuti karyawan.

“Dalam kebijakan mereka, mereka mengatakan akan melakukan ‘pemeriksaan antivirus reguler’, tetapi mereka hanya mengatakan ‘reguler’ tanpa merinci seberapa sering pemeriksaan ini,” kata komisaris itu.

Di bawah pemberitahuan penegakan pengawas, Cyberport perlu melakukan serangkaian pemeriksaan dan penguatan keamanan, menerapkan prosedur verifikasi multi-faktor, mempekerjakan pakar keamanan independen untuk audit tahunan dan menyusun pedoman yang jelas untuk pencegahan, deteksi, dan respons terhadap ancaman keamanan siber pada 20 Mei.

Cyberport berjanji pada hari Selasa untuk meningkatkan kemampuan pertahanannya terhadap serangan online. Dikatakan satuan tugas yang dibentuk setelah insiden tahun lalu telah menemukan “ruang untuk perbaikan” dalam keamanan informasi dan manajemen data hub. Ini telah memperkuat “berbagai langkah untuk meningkatkan kaliber dan kesadaran keamanan sistem informasi dan keamanan data di semua tingkat operasional”.

“Cyberport juga telah meninjau dan memperkuat langkah-langkah untuk manajemen informasi pribadi untuk memastikan kepatuhan dengan prinsip-prinsip perlindungan informasi pribadi yang digariskan dalam [undang-undang privasi],” katanya.

Francis Fong Po-kiu, presiden kehormatan Federasi Teknologi Informasi Hong Kong, mengatakan dia terkejut dengan pertahanan Cyberport yang lemah terhadap serangan brute force.

Otentikasi dua faktor Fong akan mengharuskan pengguna untuk menindaklanjuti upaya login dengan kunci fisik atau pemindaian biometrik. Dia mengatakan Cyberport bisa membatasi jumlah upaya login atau mengunci akun setelah terlalu banyak upaya masuk dicatat.

Dia juga mengusulkan hub melakukan audit keamanan setiap tiga hingga enam bulan.

Anggota parlemen Duncan Chiu, yang mewakili sektor teknologi dan inovasi di legislatif, mengatakan pencurian data telah menggarisbawahi perlunya lebih banyak sumber daya untuk dikhususkan untuk cybersecurity di organisasi.

Veteran IT Joseph Leung Wai-fung mengatakan insiden itu dapat merusak citra Cyberport baik lokal maupun internasional karena berada di garis depan industri teknologi informasi di Hong Kong.

“Insiden itu tidak menceritakan kisah yang baik bagi perusahaan yang mencari transformasi digital,” katanya.