Situs web pengiriman Jollibee ditangguhkan karena ‘kerentanan parah’
Ini adalah ringkasan yang dibuat oleh AI, yang mungkin memiliki kesalahan. Untuk konteksnya, selalu rujuk artikel selengkapnya.
(DIPERBARUI) Komisi Privasi Nasional memerintahkan penangguhan, dengan mengatakan bahwa sekitar 18 juta pengguna situs pengiriman Jollibee berisiko
MANILA, Filipina (DIPERBARUI) – Komisi Privasi Nasional (NPC) telah menangguhkan situs pengiriman raksasa makanan cepat saji Jollibee, jollibeedelivery.comtentang “kerentanan serius” dalam sistem online-nya.
NPC mengirimkan perintah penangguhan tersebut ke Jollibee Foods Corporation (JFC) pada Selasa, 8 Mei lalu privasi.gov.ph.
Dalam sebuah pernyataan pada hari Selasa, JFC mengatakan pihaknya mematuhinya dengan menutup sementara situs pengiriman Jollibee. “Sebagai tindakan pencegahan tambahan,” mereka juga secara sukarela menghapus situs pengiriman merek lainnya, “dengan pengecualian Burger King yang berada di platform lain.”
“Hal ini akan memungkinkan kami memfasilitasi peningkatan sistem pengiriman online yang lebih cepat dan memperbarui langkah-langkah keamanan yang akan semakin memperkuat perlindungan data,” kata JFC.
Sekitar 18 juta orang di database Jollibee – orang-orang yang memesan dari situs tersebut – saat ini berada pada “risiko yang sangat tinggi” terkena bahaya online, menurut NPC.
Komisi tersebut mengatakan pengguna menghadapi risiko tingkat tinggi karena “sistem yang lebih kecil dengan langkah-langkah keamanan yang lebih kuat” terpapar. Sistem Jollibee, berdasarkan temuan NPC, tampaknya sangat lemah.
Sebaliknya, pelanggaran data Wendy’s Filipina mengungkap sekitar 82.150 orang pada minggu lalu.
Riwayat pelanggaran
Perintah penangguhan ini dikeluarkan beberapa bulan setelah Jollibee melaporkan pelanggaran data pada bulan Desember 2017.
JFC melalui petugas privasi datanya J’Mabelard Gustilo memberitahukan kepada NPC mengenai pelanggaran data yang terjadi pada 8 Desember 2017. Kemudian entitas tak dikenal dapat mengakses database pelanggan jollibeedlivery.com.
Investigasi NPC mengidentifikasi pelanggaran tersebut sebagai hasil dari uji bukti konsep, yang tampaknya diprakarsai oleh tim hubungan masyarakat pemasaran Jollibee melalui perusahaan keamanan siber lokal pihak ketiga. Dalam hal ini, pengujian digunakan untuk memeriksa apakah sistem aman.
Salah satu anggota perusahaan keamanan siber mengatakan kepada NPC bahwa mereka dapat mengeksploitasi kerentanan, namun tidak mengikis atau mengekstraksi data apa pun, dan bahwa mereka hanya menunjukkan kemampuan mereka untuk mengakses data di jollibeedelivery.com.
Masih belum jelas mengapa tim PR pemasaran Jollibee memulai uji bukti konsep untuk masalah keamanan siber terkait situs pengiriman mereka dan mengapa petugas privasi data JFC sendiri tampaknya tidak mengetahuinya.
Dalam dokumen NPC, satu-satunya pernyataan Gustilo mengenai perusahaan keamanan siber lokal pihak ketiga tersebut adalah bahwa mereka “diperlakukan sebagai entitas yang tidak memiliki kontrak atau orang asing yang tidak memiliki wewenang untuk menyusup ke infrastruktur TI mereka.”
Perintah penangguhan
Setelah kejadian tersebut, NPC mencatat beberapa perbaikan pada privasi data, namun pada akhirnya menemukan bahwa situs tersebut masih tetap rentan terhadap penyerang bahkan dengan “pengetahuan dan keterampilan teknis rendah hingga sedang”.
Kesimpulan ini pada akhirnya mengarah pada perintah penangguhan, yang akan berlaku tanpa batas waktu hingga sistem baru lulus pengujian NPC.
Bersamaan dengan penangguhan tersebut, JFC juga diperintahkan untuk menyerahkan rencana keamanan, mendesain ulang infrastruktur privasi datanya, melakukan penilaian dampak terhadap kerentanan dan menyerahkan laporan bulanan hingga masalah privasi data teratasi.
“Kami saat ini sedang menangani masalah-masalah yang digariskan oleh (NPC), dan kami sekarang berkoordinasi dengan mereka mengenai hal ini. Selain apa yang dibagikan NPC, kami melakukan penyelidikan sendiri dan melakukan pemeriksaan keamanan pada sistem kami,” kata JFC.
“Kami meyakinkan masyarakat bahwa menjaga kerahasiaan data pribadi pelanggan kami tetap menjadi prioritas Jollibee Foods Corporation.”
Sebelum adanya perintah penangguhan, Gustilo mengakui perlindungan database belum mutakhir dan beberapa data tidak terenkripsi. Ia juga menyebutkan permasalahan perusahaan dalam memberikan perlindungan, seperti keterbatasan anggaran, rendahnya prioritas, atau ketidaktertarikan langsung terhadap organisasi. – Rappler.com
