[비즈한국] Layanan video daring (OTT) domestik, Tving, mengalami insiden kebocoran data pribadi. Tving menyatakan pada tanggal 3 bahwa mereka telah mengonfirmasi indikasi kebocoran informasi anggota ke pihak luar akibat akses tidak sah oleh peretas ke basis data (DB) yang menyimpan informasi pribadi pengguna.

Pada hari yang sama, Tving menginformasikan kebocoran data pribadi tersebut melalui pengumuman di situs web dan aplikasi mereka sekaligus menyampaikan permohonan maaf. Menurut Tving, akses tidak wajar terdeteksi pada DB yang menyimpan informasi pribadi pada tanggal 2 lalu. Perusahaan menduga bahwa peretas yang tidak dikenal mengakses DB tersebut dan mengirimkan berkas informasi pribadi ke luar sistem. Saat ini, penyebab pasti insiden dan skala kerusakan masih dalam penyelidikan.
Data pribadi yang bocor mencakup ID, nama, tanggal lahir, jenis kelamin, Connecting Information (CI), Duplication Information (DI), nomor ponsel, alamat email, nomor rekening pengembalian dana, dan kata sandi. Namun, empat digit terakhir nomor ponsel telah dienkripsi, dan bagian ID dari alamat email (sebelum domain) juga telah dienkripsi. Nomor rekening pengembalian dana dan kata sandi juga dipastikan bocor dalam bentuk terenkripsi. Secara khusus, kata sandi diketahui disimpan dengan metode enkripsi satu arah. Tving menjelaskan bahwa nomor registrasi penduduk dan informasi terkait pembayaran tidak termasuk dalam data yang bocor karena perusahaan tidak menyimpannya.
Data yang bocor mencakup CI, yaitu nilai unik untuk mengidentifikasi pengguna dalam verifikasi identitas. Meskipun CI saja tidak cukup untuk mengakses akun atau melakukan transaksi keuangan, terdapat kekhawatiran bahwa data tersebut dapat disalahgunakan untuk mengidentifikasi pengguna jika digabungkan dengan informasi pribadi lain yang bocor dari tempat lain.
Segera setelah mengetahui adanya kebocoran, Tving menyatakan telah memblokir IP penyerang, mengubah kebijakan kontrol akses cloud, dan memperketat pemantauan akses DB. Selain itu, sesuai dengan undang-undang yang berlaku, mereka telah melaporkan insiden tersebut kepada Korea Internet & Security Agency (KISA) dan sedang menyelidiki penyebab serta cakupan dampaknya.
Pengguna diimbau untuk mengubah kata sandi Tving serta layanan lain yang menggunakan informasi akun yang sama. Jika pengguna menerima panggilan atau email yang mencurigakan, mereka diminta untuk melaporkan kerugian tersebut melalui pusat layanan pelanggan.
Cakupan dampak dari insiden ini belum dipastikan. Hingga bulan April, jumlah pengguna aktif bulanan (MAU) Tving mencapai sekitar 7,7 juta, sehingga ada kemungkinan sejumlah besar pengguna akan terdampak tergantung pada hasil penyelidikan.
Melalui pernyataan resmi, pihak Tving menyatakan, “Kami memohon maaf dengan tulus atas kekhawatiran yang ditimbulkan oleh insiden keamanan ini kepada para pelanggan. Kami sedang melakukan investigasi menyeluruh mengenai penyebab dan dampak insiden ini sembari mengutamakan langkah-langkah perlindungan pelanggan, dan kami akan mengungkapkan fakta-fakta yang terkonfirmasi secara transparan.” Mereka menambahkan, “Kami juga akan bekerja sama dengan pemerintah dan lembaga terkait dalam penyelidikan serta melakukan yang terbaik untuk menyusun langkah-langkah pencegahan agar insiden serupa tidak terulang kembali.”