Tiga Raksasa Mode Didenda Ratusan Miliar, Imbas Kebocoran Data
Jakarta, FORTUNE - Tiga merek mode dan perhiasan mewah di bawah naungan Louis Vuitton Moët Hennessy (LVMH) harus menanggung sanksi besar akibat insiden kebocoran data pelanggan. Personal Information Protection Commission (PIPC) Korea Selatan menjatuhkan denda total sebesar US$25 juta atau sekitar Rp423 miliar kepada Louis Vuitton, Christian Dior Couture, dan Tiffany.
Hukuman tersebut dijatuhkan setelah otoritas menemukan kegagalan perusahaan dalam membangun sistem pengamanan yang memadai, sehingga data pribadi lebih dari 5,5 juta pelanggan terekspos. PIPC menjelaskan, serangan siber terjadi ketika pelaku berhasil menyusup ke layanan manajemen pelanggan berbasis cloud (software as a service/SaaS) yang digunakan ketiga merek itu.
Sejumlah peneliti keamanan dari Google mengaitkan rangkaian peretasan ini dengan kelompok peretas ShinyHunters, yang diketahui menargetkan platform Salesforce. Informasi tersebut dilaporkan oleh Bleeping Computer, pada Kamis (19/2).
Louis Vuitton menerima sanksi terbesar, yakni US$16,4 juta. Hasil penyelidikan PIPC menunjukkan perangkat salah satu karyawan terinfeksi malware dan menjadi celah awal bagi peretas untuk mengakses data sekitar 3,6 juta pelanggan. Otoritas juga menyoroti praktik keamanan yang longgar, mengingat perusahaan telah menggunakan layanan SaaS tersebut sejak 2013 tanpa pengamanan dasar yang memadai.
“Perusahaan tidak membatasi hak akses berdasarkan alamat IP dan tidak menerapkan metode autentikasi yang aman saat pengelola informasi pribadi mengakses layanan dari luar jaringan kantor,” tulis laporan PIPC. Selain denda finansial, Louis Vuitton diwajibkan mengumumkan sanksi tersebut secara terbuka melalui situs resmi bisnisnya.
Sementara itu, Christian Dior Couture dikenai denda US$9,4 juta. Insiden yang berdampak pada 1,95 juta pelanggan ini berawal dari serangan phishing terhadap staf layanan pelanggan. PIPC mencatat sejumlah kelalaian utama: tidak adanya pembatasan akses berbasis allow-list, lemahnya pengendalian unduhan data dalam jumlah besar, serta absennya pemeriksaan log akses secara berkala. Akibatnya, peretasan baru terungkap tiga bulan setelah kejadian. Dior juga dinilai melanggar ketentuan pelaporan karena baru menyampaikan insiden tersebut lima hari setelah diketahui, melampaui batas 72 jam yang diatur dalam Undang-Undang Perlindungan Informasi Pribadi Korea Selatan.
Tiffany turut dijatuhi denda sebesar US$1,85 juta. Meski jumlah pelanggan terdampak relatif kecil yakni sekitar 4.600 orang, modus serangan serupa digunakan, yakni voice phishing untuk mengecoh karyawan. Seperti dua merek lainnya, Tiffany dinilai abai dalam penerapan kontrol akses berbasis IP dan terlambat memberi pemberitahuan kepada pihak yang terdampak.
Melalui kasus ini, PIPC menegaskan penggunaan layanan pihak ketiga tidak menghapus tanggung jawab perusahaan atas keamanan data.
“Penggunaan solusi SaaS tidak mengecualikan perusahaan dari tanggung jawab mereka untuk mengelola data klien secara aman, juga tidak mengalihkan tanggung jawab tersebut kepada vendor penyedia solusi,” tegas PIPC.
Data sensitif yang bocor mencakup nama, nomor telepon, alamat email, alamat fisik, hingga riwayat transaksi pelanggan. Insiden ini menjadi peringatan keras bagi industri barang mewah global bahwa investasi keamanan siber perlu sejalan dengan reputasi eksklusif yang mereka bangun.
