Une Fuite De 896 Données Client CreditPlus Alerte Sur L'importance Du Projet De Loi PDP
JAKARTA - Un autre cas de fuite de données s'est produit, cette fois vécu par la société fintech KreditPlus. On soupçonne qu'environ 896 fuites de données personnelles d'utilisateurs de KreditPlus ont été échangées sur des forums de pirates.
Les données divulguées comprennent le nom, le KTP, l'adresse e-mail, le mot de passe, l'adresse, le numéro de téléphone portable, les données d'emploi et les données familiales du garant. Le militant de la cybersécurité Teguh Aprianto a découvert les résultats de ces données client KreditPlus, qui les a ensuite partagées sur sa page Twitter personnelle.
896 000 données appartenant à KreditPlus ont été divulguées et vendues. Les données divulguées incluent: - Nom - CARTE D'IDENTITÉ - E-mail - Mot de passe - Adresse - Numéro de téléphone portable - Données d'emploi - Données de la famille du garant KreditPlus elle-même est une société financière enregistrée et supervisée par @ojkindonesia. pic.twitter.com/wQILwthye1
- Teguh Aprianto (@secgron) 3 août 2020
KreditPlus lui-même est un service de financement multi-usage pour motos, voitures et équipements lourds appartenant à PT Finansia Multi Finance, et a été fondé en 1994. Cette société financière a également été enregistrée et directement supervisée par l'Autorité des services financiers (OJK).
Bien que récemment, le fil de discussion qui répertoriait les données divulguées sur les ventes de la base de données clients KreditPlus a depuis été supprimé. L'observateur de la cybersécurité du CISSReC, Pratama Husada, a déclaré que la fuite de données sur les clients de CreditPlus était partagée depuis le 16 juillet dernier.
En attendant la loi sur la protection des données personnellesLa base de données est stockée dans un fichier de téléchargement de 78 Mo qui doit encore être extrait pour obtenir 430 Mo de données clients KreditPlus. Ces fichiers contiennent 819 976 données clients avec quelques autres données sensibles qui sont très dangereuses, si elles sont utilisées à des fins de fraude et autres délits.
"Le principal problème dans ce pays est qu'il n'y a pas de loi qui oblige ces fournisseurs de services de systèmes électroniques à sécuriser pleinement les données publiques qu'ils collectent. De sorte que toutes les données qui devraient être cryptées puissent encore être vues à l'œil nu", a expliqué Pratama dans un communiqué de presse reçu par VOI, mardi 4 juillet.
Dans ce cas, l'État a la responsabilité d'accélérer la discussion du projet de loi sur la protection des données personnelles. Plus loin dans la loi, il convient de préciser que tout fournisseur de services de système de transaction électronique (PSTE) qui ne sécurise pas les données publiques peut être poursuivi en réparation et traduit en justice.
Il a donné un exemple, plusieurs pays d'Europe ont mis en œuvre le règlement sur la protection des données des consommateurs, le règlement général sur la protection des données (RGPD). Lorsque toutes les données collectées doivent être sécurisées par cryptage et en cas de négligence prouvée, le prestataire de services pourrait faire l'objet de poursuites pouvant aller jusqu'à 20 millions d'euros d'amende.
"Vous pouvez imaginer que si ce surplus de crédit est à l'étranger, il pourrait faire l'objet d'articles de négligence dans le RGPD. C'est le même que l'incident de fuite de données qui s'est produit dans le pays auparavant", a expliqué l'homme qui est également maître de conférences à le State Intelligence College (STIN).
Par conséquent, Pratama a demandé au gouvernement d'accélérer immédiatement la discussion du projet de loi sur la protection des données personnelles afin que les cas de fuite de données comme celui-ci puissent faire l'objet d'une enquête approfondie et que la sécurité des données personnelles des personnes puisse être garantie.
C'est le choix des fournisseurs de technologie de protéger toutes les données afin qu'elles soient cryptées. Les données hors ligne doivent également avoir un modèle de sécurité qui n'est pas moins strict.
"Pour éviter le vol répété de données, il est nécessaire de réaliser un test de pénétration et également une prime de bogue. Chaque PSTE peut offrir une récompense décente à chaque partie qui trouve une faille de sécurité dans son système. Cela est souvent fait par Apple, Google, FB , Amazon et d'autres géants de la technologie », a-t-il expliqué.
Les incidents récurrents de vol de données devraient inciter Kominfo et BSSN à se rendre plus fréquemment sur le terrain pour mener des formations et forcer PSTE à construire un meilleur système, notamment en matière de protection des données clients ou de leurs clients de plateforme. Parce que cette cybersécurité sera l'une des choses que les investisseurs utilisent pour faire des affaires dans le pays.
«Avant que les propriétaires de services puissent sécuriser les données personnelles de leurs utilisateurs, nous devons également être en mesure de sécuriser nos propres données personnelles. Par exemple, pour ceux qui créent un bon mot de passe fort, activez l'authentification à deux facteurs. Installez un antivirus sur chaque appareil utilisé , n'utilisez pas de WiFi gratuit, n'ouvrez pas de liens inconnus et suspects, ainsi que d'autres mesures de protection standard », a expliqué Pratama.