Data Pribadi Pengguna Bocor, Grab Kena Denda Rp108 Juta

Aplikasi Grab.
Sumber :
  • VIVA/Novina Putri Bestari

VIVA – Komisi Perlindungan Data Pribadi (Personal Data Protection Commission/PDPC) Singapura menjatuhkan denda sebesar Rp108 juta (S$10 ribu) kepada aplikasi layanan taksi online milik Grab, GrabHitch, karena dinilai telah melakukan update aplikasi yang membuat data pribadi pengguna bocor, sehingga ada ancaman terjadinya penyalahgunaan.

Viral Curhat Penumpang Dipaksa Transfer Uang Rp100 Juta oleh Driver Taksi Online

PDPC menyebutkan pembaruan aplikasi milik pesaing Gojek itu membuat sejumlah data pribadi pengguna dan mitra pengemudi atau driver berisiko diakses secara tidak sah.

Baca: Isu Terbaru Gojek dan Grab: Diskon hingga Merger

Para Agen Dikerahkan untuk Bantu Bagi-bagi Paket

Hal ini termasuk pelanggaran keempat dari peraturan data pribadi dan tergolong penyebab kekhawatiran yang signifikan. Meski pembaruan aplikasi terebut hanya berlangsung selama 40 menit, karena Grab langsung mengembalikan ke aplikasi versi sebelumnya dan mengambil langkah korektif.

"Bisnis Grab melibatkan pemrosesan data pribadi dalam jumlah besar setiap harinya. Hal ini menjadi penyebab kekhawatiran yang 'signifikan'," kata Wakil Komisaris PDPC, Yeong Zee Kin, seperti dikutip dari situs Channel News Asia, Kamis, 17 Spetember 2020.

Masyarakat Diminta Jangan Gampang Umbar Data Pribadi

Pada 30 Agustus 2019, Grab melaporkan kepada PDPC bahwa data profil 5.651 driver GrabHitch terpapar risiko akses tidak sah oleh driver GrabHitch lainnya lewat aplikasi Grab. Setelah ditelisik penyebabnya adalah pembaruan pada aplikasi di hari yang sama.

"Pembaruan ini bertujuan untuk mengatasi potensi kerentanan yang ditemukan dalam aplikasi Grab," ujar Yeong. Ia juga menjelaskan URL (uniform resource locator) antar muka pemrograman aplikasi tersebut memungkinkan pengemudi GrabHitch untuk mengakses data mereka.

Melalui itu, pengemudi dapat melihat ID pengguna, sehingga berpotensi untuk dimanipulasi dan digunakan untuk mengakses data pengemudi lain. Untuk memperbaiki risiko tersebut, Grab melakukan pembaruan dan menghapus ID pengguna dari URL.

Kemudian, ID pengguna tersebut disingkat menjadi 'pengguna/profil' dengan kode statik (hard-coded). Namun, perusahaan layanan taksi online itu gagal memperhitungkan mekanisme cache berbasis URL di aplikasi tersebut.

Mekanisme cache itu terkonfigurasi untuk menyegarkan setiap 10 detik. Mekanisme ini menyajikan konten yang disimpan dalam cache sebagai tanggapan atas permintaan data, sehingga dapat mengurangi beban akses langsung ke database Grab.

Dengan pembaruan tersebut, semua URL di aplikasi Grab diakhiri dengan 'pengguna/profil' tanpa 'userID'. Dengan demikian, hal ini mengarahkan permintaan data ke akun pengemudi GrabHitch yang benar. Mekanisme caching tidak dapat lagi membedakan antara driver.

Kendati demikian, Yeong menuturkan GrabHitch tidak menerapkan proses yang cukup kuat untuk mengelola perubahan pada sistem teknologi informasinya. Hal itu pun dapat membahayakan data pribadi yang sedang diproses.

“Ini adalah kesalahan yang sangat besar, mengingat ini adalah kedua kalinya (Grab) melakukan kesalahan serupa meskipun dengan sistem yang berbeda," tegas Yeong. Pada kesempatan yang sama, Grab mengaku telah menerapkan proses yang lebih kuat untuk mencegah kesalahan itu terualang kembali.

“Kami telah memperkenalkan proses yang lebih kuat dan ketat, terutama yang berkaitan dengan pengujian lingkungan teknologi informasi kami,” demikian menurut keterangan resmi Grab. Mereka juga mengaku telah melakukan pembaruan pada prosedur tata kelola, serta tinjauan arsitektur dari aplikasi lama miliknya.

Halaman Selanjutnya
Halaman Selanjutnya