Para peneliti memperingatkan bahwa regulasi data Eropa yang positif telah menimbulkan risiko besar bagi individu dan perusahaan tempat mereka bekerja.

Sejak disahkannya General Data Protection Protection Regulation (GDPR), pengguna internet di Eropa dan di banyak tempat di seluruh dunia yang mengikutinya telah dapat mengunduh keseluruhan data yang disimpan situs web tentang mereka.

Selain manfaat yang jelas bagi privasi dan transparansi, idenya adalah portabilitas: Siapa pun dapat mengambil data yang dimiliki satu situs tentang mereka dan mentransfernya ke situs lain.

Peneliti menyoroti dampak berat untuk hak baru atas portabilitas data ini. Sebelum aturan tersebut, data paling sensitif setiap orang dilindungi di balik tembok bata di pusat data yang sangat aman.

Sekarang pengguna dapat mengambil data tersebut melalui mekanisme berbasis cloud, peretas dapat mengakses akun mereka dan mencuri semuanya. Mempertimbangkan luasnya data yang dikumpulkan situs web tentang kita saat ini, kemungkinan terjadinya kejahatan tidak terbatas.

Karena data yang rentan dapat diekspor dari layanan yang disediakan oleh perusahaan teknologi besar seperti Facebook, Amazon, Apple, Netflix, dan Google.

Namun, karena sangat mudah untuk mendapatkan semua informasi personal yang sensitif itu, bersama dengan fakta bahwa orang menggunakan perangkat yang sama untuk keperluan perusahaan dan pribadi, maka ada risiko besar di sana.

Baca juga: Mengapa Data Berharga

Data yang Dimiliki Situs tentang Anda

Perusahaan menimbun banyak sekali informasi sensitif, terutama perusahaan teknologi terbesar yang paling penting bagi kehidupan daring kita. Mereka memiliki segalanya mulai dari informasi pengenal pribadi (PII) kita yang paling sensitif hingga riwayat panjang aktivitas daring kita. Namun, bahkan pengguna Internet yang paling jeli mungkin akan terkejut betapa dalamnya lubang ini.

Meta misalnya, tidak hanya mencatat aktivitas Facebook yang terdokumentasi, tetapi juga banyak data yang tidak terdokumentasi, seperti postingan apa yang Anda lihat, dan berapa lama Anda melihatnya.

Google juga menyimpan tidak hanya seluruh riwayat pencarian Anda, tetapi juga pencarian yang Anda ketik tetapi tidak Anda lakukan.

Peraturan portabilitas data GDPR yang bermaksud baik memaksa perusahaan untuk membuat semua informasi ini dapat diekspor dengan sekali klik tombol dalam format yang dapat dibaca mesin.

Dan apa yang menghentikan peretas yang memiliki akun Anda untuk melakukan hal itu? Perlindungan yang paling umum adalah, memang, autentikasi multifaktor (MFA). Tetapi seperti yang kita ketahui, MFA dapat dilewati.

Baca juga: Menghindari Data Personal Berakhir di Dark Web

Risiko bagi Individu dan Perusahaan

Dengan data ekspor, tidak ada batasan untuk apa yang dapat dilakukan penyerang. Mereka dapat menggunakan:

• Riwayat pencarian Google untuk memeras Anda.
• Data GPS dari Meta untuk menemukan tempat tinggal Anda.
• Dan riwayat kalender Apple untuk mengetahui tempat yang pernah Anda kunjungi dan tempat yang akan Anda kunjungi.
• Belum lagi kemungkinan serangan siber yang tak terbatas.

Ada risiko bagi perusahaan, akun individu dapat menyimpan semua jenis data perusahaan yang dapat digunakan untuk menyerang perusahaan tempat mereka bekerja.

Sekali lagi, skenarionya tidak terbatas. Dengan ekspor Apple misalnya:

• Seorang peretas dapat mengambil alamat MAC yang terkait dengan AirPods milik seorang karyawan yang belum ditambal.
• Memalsukan koneksi Bluetooth.
• Mengeksploitasi CVE-2024-27867 untuk mendapatkan akses ke sana.
• Lalu mendengarkan rapat perusahaan.

Atau, mereka dapat memanfaatkan informasi seperti versi sistem operasi ponsel karyawan tersebut. Jika peretas tahu bahwa perangkat seluler karyawan tersebut tidak mutakhir, mereka dapat mencari kerentanan tertentu yang diketahui untuk menargetkan karyawan ini.

Dan ada bahaya yang jauh lebih sederhana dan lebih nyata daripada itu. Dalam sebuah riset pada 14.000 karyawan dan diketahui bahwa sekitar 63% menggunakan akun pribadi di komputer kantor mereka dan 80% mengakses aplikasi kantor dari komputer pribadi mereka.

Berkat pencampuran ini, kata sandi kantor cenderung disimpan di akun pribadi yang jauh kurang aman dan dapat diekspor. Inilah cara Cisco diretas pada tahun 2022, dan Okta pada tahun 2023, kasus yang juga memengaruhi setiap pelanggannya.

Untuk mencegah hal itu terjadi, karyawan perlu menarik garis yang jelas antara bisnis dan kesenangan mereka secara daring. Untuk memperjelas, semua orang harus tahu bahwa akun pribadi kurang aman dibandingkan akun perusahaan. Itulah pesan yang ingin disampaikan di sini.

 

 

Baca artikel lainnya: Menghapus Data Personal dari Google Search Kebocoran Data dan Pelanggaran Data Cara Peretas Mencuri Data Perusahaan Privasi dan Data Pribadi Strategi Pencadangan Data Perusahaan Langkah Menghadapi Pelanggaran Data Konsekuensi Kebocoran Data Pentingnya Pencadangan Data

 

Sumber berita:

 

Prosperita IT News