純粋なハッキング、BRI Lifeのお客様から正常に壊れたデータのリストを次に示します。
ジャカルタ - 国内の人々は再び個人データの漏洩のニュースに驚きました。サイバー犯罪監視会社のハドソン・ロックは自身のTwitterアカウントで、BRI Lifeの顧客がデータ漏洩の犠牲者だったと述べた。
@HRockアップロードされたスクリーンショットには、データが取得される BRI の多くのドメインとサブドメインがあります。サイバーセキュリティの専門家Pratama Persadhaは、襲撃フォーラムでチェックインすると、Recktと呼ばれるアカウントが彼が販売したデータのサンプルをアップロードしたが、後に削除されたと説明しました。
このアカウントは、200万人以上のBRI生命保険の顧客のデータベースを販売し、463,000以上の文書をスキャンしたと報告されています。Pratamaは、データベースには保険契約ピン、BRI生命保険を使用する顧客に関する完全な詳細、総給付、年間の合計期間を持っていると説明しました。
ktp、KK、NPWP、銀行口座帳の写真、出生証明書、死亡証明書、契約書、転送証明書、財務証拠、ECG、糖尿病などの健康証明書があります。
私たちは、ハッカーが会社への最初のアクセスを得るのを助けたかもしれないBRI Lifeとバンクラキヤットインドネシアの複数の侵害された従業員コンピュータを特定しました。この攻撃ベクトルから組織を保護するためにキャバリエを使用する方法を学び https://t.co/slsshxX51N pic.twitter.com/EjfdpPHdGr
— ハドソンロック(@HRock) 2021年7月27日
「最大 252 GB のサイズのドキュメント ファイルは 463,519 個あり、410MB の 200 万人の BRI Life のお客様を含むデータベース ファイルもあります。サンプル自体では、指定されたサイズの 2.5 GB には、多数のドキュメント ファイルが含まれています。「2つの完全なファイルは、Rp101百万ドルに相当する7,000米ドルで提供され、ビットコインで支払われます」と、Pratamaは7月28日水曜日にVOIが受け取った公式声明で述べました。
それだけでなく、口座変異データ、保険預金移転の証明、BRI Lifeの従業員との顧客のWA会話のスクリーンショット、保険登録書類、一部の自己申告フォームと能力、生命保険契約を完備しています。
「これは、データ販売者とデータ売り手の加害者に知らせる当事者としてのハドソン・ロックの主張が、おそらく真実であることを意味します。彼らが主張するデータには、BRI Lifeの顧客からの様々なデータが含まれていること」とPratama氏は述べた。
プラタマは確かに深刻な懸念事項であると付け加えました。ハドソンロックが共有したスクリーンショットを見ると、サイトの侵入のためにデータがはっきりと取られました。BRI Lifeのウェブサイトは、ユーザー名やログインアカウント、パスワード、IPでも言及されている様子を見ることができます。
「SQL インジェクションが公開される、またはその他のセキュリティの抜け穴が存在する SQL 側 (構造化照会言語) からかどうか、どのセキュリティ抜け穴を突破するために使用されているかを調べるために、デジタル フォレンジックを行う必要があります。「システムに侵入するためにハッカーによっても潜在的に使用されるブリライフアカウントから侵害されているように」とPratamaは言いました。
Pratamaによると、ここからデータ漏洩の原因はハッキングの結果であり、内部の当事者や従業員からのデータの売買の結果ではないと結論付けることができます。したがって、Pratamaは、PDP(個人データ保護)法が本当に強力な記事を持ち、公開データを保護することを目的としている限り、直ちにPDP(個人データ保護)法を可決することを政府に確認します。
プラタマはシステムの強化を求め、人材を改善すべきであり、主にデータセキュリティのための技術の採用も行う必要があります。インドネシア自体は、サイバーセキュリティの意識がまだ低いため、ハッキングに対して脆弱であると考えられています。最も重要なことは、ヨーロッパのように決定的かつ厳密に行動できるPDP法が必要です。これは主な要因であり、個人データの盗難を標的とした国内の多くの主要なハッキングです。
「インドネシアのデータ漏洩は、政府と議会がPDP法に同意する場合に重要です。「強力なPDP法がなければ、国家機関と民間機関の両方の個人データの管理者はそれ以上の責任を負わず、技術、人事、情報システムのセキュリティを改善することを強制することはできません」と、pratamaが言いました。
一方、通信情報省(Kemenkominfo)のスポークスマンは、これまでデータ漏洩を調査していると述べた。
「今まで調査はまだ進行中であり、結果は結論付けられていない」とDedyは言った。