Grab Didenda di Singapura Atas Pelanggaran Data Pribadi

JAKARTA - Pengawas privasi Singapura menjatuhkan denda pada unit perusahaan ride-hailing Grab Holdings Inc yakni GrabCar Pte atas tuduhan menempatkan data lebih dari 21.000 pengemudi dan penumpang pada risiko akses yang tidak sah, setelah pembaruan pada aplikasinya 2019 lalu. 

Grab didenda sekira 10.000 dolar Singapura atau setara Rp109 juta pada Juli tahun ini. Pelanggaran privasi tersebut meliputi foto profil, nama, saldo pengguna, dan nomor plat kendaraan itu terkait dengan layanan penggabungan mobil perusahaan GrabHitch.

Data lain yang terpengaruh termasuk detail pemesanan GrabHitch seperti alamat, waktu penjemputan dan pengantaran, dan detail pengemudi seperti total perjalanan, serta model dan merek kendaraan. 

Dilansir Business Times, Sabtu 12 September, kejadian ini bermula pada 30 Agustus 2019, saat Grab meluncurkan pembaruan untuk mengatasi potensi kerentanan dalam aplikasi. Application programming interface (API) memungkinkan pengemudi GrabHitch untuk mengakses data mereka, dan fitur userID di URL mengarahkan permintaan data ke akun pengemudi yang benar.

Tetapi fitur userID berpotensi dimanipulasi, yang diklaim dapat mengakses data pengemudi GrabHitch lainnya. Meskipun pembaruan yang diluncurkan telah menghapus bagian userID, perusahaan gagal mempertimbangkan mekanisme cache aplikasi, yang dikonfigurasi untuk dimuat ulang setiap 10 detik. Cache itu juga menampilkan data yang disimpan sebagai respons atas permintaan.

Tanpa userID, mekanisme cache tidak dapat lagi membedakan data masing-masing driver. Hasilnya, kesalahan ini membuat aplikasi memberikan data yang sama ke semua pengemudi GrabHitch selama 10 detik, sebelum data baru diambil dan disimpan dalam cache selama 10 detik berikutnya.

Menurut laporan, kesalahan itu telah diperbaiki dalam waktu kurang dari satu jam. Namun, perusahaan seharusnya melakukan tes pra-peluncuran yang tepat, sebelum bisa digunakan oleh publik. Bahkan ternyata, pelanggaran ini merupakan pelanggaran data pribadi keempat Grab sejak 2018.

"Mengingat bahwa bisnis organisasi melibatkan pemrosesan data pribadi dalam jumlah besar setiap hari, ini menjadi penyebab kekhawatiran yang signifikan," ungkap wakil komisaris Komisi Perlindungan Data Pribadi, Yeong Zee Kin dalam keterangan resminya.

Untuk itu, regulator memerintahkan apa yang disebut perlindungan data berdasarkan kebijakan desain, di mana pengembang harus mempertimbangkan masalah data dan privasi pada tahap desain, selama kurang lebih 120 hari.

 

Perlu diketahui, Singapura adalah salah satu dari sedikit negara Asia dengan aturan perlindungan data yang komprehensif. Perusahaan multi-nasional yang berbisnis di Singapura harus mengikuti Undang-Undang Perlindungan Data Pribadi, yang mewajibkan perusahaan untuk mendapatkan persetujuan pengguna sebelum mengumpulkan atau menggunakan data pribadi.

Selain itu, Grab juga lagi-lagi membuat kesalahan di luar negeri. Pada Februari, Komisi Privasi Nasional di Filipina memerintahkan perusahaan tersebut untuk menghentikan uji coba dan berencana untuk meluncurkan tiga sistem pemrosesan data baru.

Sayangnya, pada aplikasi masih ditemukan kekurangan dalam verifikasi "selfie" penumpang, perekaman audio di dalam kendaraan, dan sistem perekaman video di dalam kendaraan yang dapat membahayakan hak privasi publik yang berkendara.

Sebagai informasi, Grab yang beroperasi di 351 kota di delapan negara di Asia Tenggara termasuk Indonesia, telah melakukan diversifikasi ke penawaran digital seperti layanan pengiriman makanan dan teknologi keuangan. Aplikasi seluler tersebut saat ini memiliki lebih dari 187 juta unduhan.