Sebuah firma keamanan Internet mengatakan sebuah perusahaan perangkat lunak limusin diretas, memperlihatkan nomor kartu kredit dan detail yang berpotensi memalukan tentang hampir 1 juta pelanggan, termasuk politisi, atlet bintang, dan eksekutif perusahaan.
Alex Holden, kepala petugas keamanan informasi Hold Security yang berbasis di Milwaukee, mengatakan dia menemukan pelanggaran lebih dari sebulan yang lalu di Corporatecaronline. Dia mengatakan dia memberi tahu pemilik perusahaan perangkat lunak yang berbasis di Kirkwood, Mo. bahwa nomor kartu kredit pelanggan, informasi penjemputan dan pengantaran, serta detail pribadi lainnya telah dicuri.
“Implikasi privasi ini sangat mengganggu,” kata Holden, Senin.
Layanan mobil membeli perangkat lunak dari Corporatecaronline dan menggunakannya untuk merampingkan pemesanan, pengiriman, dan pembayaran. Pemilik Dan Leonard tidak membalas panggilan ke perusahaannya untuk komentar Senin dari The Associated Press.
Blogger cybersecurity Brian Krebs, yang bekerja dengan Hold Security, pertama kali melaporkan peretasan di situs webnya krebsonsecurity.com, termasuk detail yang diberikan operator kepada pengemudi dalam perjalanan untuk menjemput penumpang yang diketahui. Misalnya, Krebs melaporkan bahwa seorang sopir yang mengantar Tom Hanks ke sebuah restoran di Chicago untuk makan malam diberi tahu bahwa pelanggan tersebut adalah “VVIP” yang meminta “Tidak Ada Penggunaan Sel/Radio” oleh pengemudi.
Seorang sopir yang bertemu dengan raja tekstil Amerika Latin Josue Christiano Gomes da Silva di dalam area pengambilan bagasi bandara diperingatkan dengan tanda tercetak: “KLIEN SUPER VIP. SEMUANYA HARUS SEMPURNA!”
Pelanggan lain termasuk Donald Trump, yang membutuhkan mobil baru dengan kursi depan yang jelas; LeBron James, dijemput di pintu masuk atlet di arena olahraga Las Vegas; dan Colorado Sen. Mark Udall, yang bepergian ke Boston dengan klub golf.
File yang dicuri juga mencakup catatan tentang apa yang terjadi di dalam kendaraan, termasuk seks, muntah, dan merokok mariyuana, lapor Krebs.
Reputasi. Perwakilan John Conyers, D-Mich., yang datanya termasuk di antara yang dilanggar, menolak berkomentar pada hari Senin. Namun juru bicaranya, Andrew Schreiber, mengatakan dia menghargai masalah ini yang menjadi perhatiannya.
Anggota Kongres lainnya juga mengatakan mereka tidak mendapat informasi.
“Ini adalah pertama kalinya kami mendengar tentang ini. Kami tidak pernah diberitahu, tetapi kami sedang menyelidiki klaim tersebut,” kata Leslie Shedd, juru bicara Rep. Lynn Westmoreland, R-Ga., berkata.
Holden mengatakan dia menemukan informasi pelanggan Corporatecaronline disimpan di server komputer yang sama di mana dia sebelumnya menemukan nama pengguna dan kata sandi yang dicuri dari PR Newswire, Adobe Systems dan sekitar 100 perusahaan lain. Dia mengatakan sebagian besar perusahaan segera bertindak ketika diberi tahu; Adobe dan PR Newswire mengumumkan kepada publik ketika mereka mengetahui tentang pelanggaran tersebut, memperingatkan jutaan pelanggan yang terpengaruh.
Holden menolak menyebutkan puluhan perusahaan lain yang data pelanggannya juga diretas.
“Jika kita mulai menyebutkan nama-nama itu, mungkin akan ada kepanikan yang meluas,” katanya, mencatat bahwa perusahaan-perusahaan itu berusaha menangani pelanggaran tersebut. Tetapi Holden mengatakan dia khawatir Corporatecaronline gagal bertindak, dan telah menghubungi sendiri perusahaan kartu kredit.
Situs web Corporatecaronline menawarkan perlindungan data yang kuat. “Satu-satunya titik akses ke server adalah melalui firewall kami, yang dikelola oleh pusat data kami, 24/7, 365 hari setahun,” katanya.
Tetapi Jonathan Mayer, seorang peneliti keamanan dunia maya di Pusat Keamanan dan Kerjasama Internasional di Universitas Stanford, memeriksanya pada hari Senin dan menemukan bahwa situs tersebut berjalan pada perangkat lunak usang yang rentan terhadap kerentanan. Dia mengatakan itu memiliki kode yang berasal dari Macromedia, yang diakuisisi oleh Adobe hampir delapan tahun lalu; Internet Explorer 4, yang diluncurkan pada tahun 1997; dan Netscape 6 yang berusia 13 tahun.
“Intinya di sini adalah Anda tidak lagi harus menjadi target besar untuk mengambil risiko secara online,” kata Mayer. “Ini adalah normal baru, dan menyoroti kebutuhan untuk meningkatkan kerangka peraturan.”
FBI tidak segera membalas telepon untuk meminta komentar.
Chief technology officer perusahaan cybersecurity McAfee, Raj Samani, mengatakan pada hari Senin bahwa peretasan menyoroti betapa rentannya pelanggan, bahkan jika mereka mencoba menggunakan kata sandi yang rumit dan mengambil tindakan pencegahan dengan privasi mereka.
“Anda dapat melakukan apa pun yang Anda inginkan, tetapi dalam banyak kasus Anda mempercayakan data Anda ke berbagai pihak ketiga, dan itu di luar kendali Anda,” katanya.
___
Penulis Associated Press Alan Fram di Washington dan Raphael Satter di London berkontribusi pada laporan ini.