idNSA.id - Resecurity, perusahaan keamanan siber yang
berbasis di California yang melindungi Fortune 500, telah mengidentifikasi
kebocoran PII yang dicuri dari Departemen Ilmu Kedokteran Thailand yang berisi
informasi tentang warga dengan gejala COVID-19. Insiden itu terungkap minggu
lalu dan dibagikan dengan CERT Thailand.
Data tersebut dijual di beberapa market Dark Web dan tersedia untuk pembelian lebih lanjut melalui saluran Telegram yang dibuat oleh pelaku.
Berdasarkan sampel yang diperoleh dan wawasan tambahan
terkait insiden keamanan, pelaku dapat memperoleh akses tidak sah ke portal
pemerintah yang memungkinkan mereka mengelola pengguna dan catatan secara
ilegal.
“Menurut para pelaku, mereka dapat mencuri informasi sensitif
dan pribadi tetapi tidak terbatas pada nama belakang, nama depan, jenis
kelamin, usia, detail kontak, riwayat medis, dan pengidentifikasi layanan
kesehatan lokal terkait” membaca posting yang diterbitkan oleh Resecurity
Akses dimungkinkan karena kerentanan injeksi SQL aktif dalam
modul otorisasi aplikasi WEB yang digunakan untuk survei online.
Pada saat identifikasi pelanggaran, pelaku kejahatan dapat
mengakses setidaknya 5.151 catatan rinci dengan potensi paparan 15.000 secara
total.
Thailand bukan satu-satunya wilayah di mana penjahat dunia
maya memburu data pribadi dan medis. Sebagian besar layanan kesehatan di
Thailand tersedia dalam bentuk digital untuk warga negara, itulah sebabnya
mereka selalu menjadi target yang menarik bagi kelompok spionase siber, dan pelaku
darkWeb lainnya mengumpulkan informasi untuk tujuan tidak baik, salah satu
contohnya adalah menggunakan data yang dicuri untuk pencurian identitas lebih
lanjut. Tahun ini insiden serupa terjadi di Indonesia dan India yang berujung
pada pencurian data pasien COVID-19.
Resecurity telah secara tepat waktu membagikan data bocor
yang terpapar dengan otoritas terkait dan penegak hukum untuk memastikan warga
yang terkena dampak akan dilindungi dalam lingkup undang-undang privasi dan
peraturan perlindungan data yang ada di Thailand.
