Advisories

MA-842.072022: MyCERT Alert - Amalan Terbaik Keselamatan Mengenai Pelanggaran Data
  •   18 Jul 2022
  •   Alert
  •   Pelanggaran data, PII

1.0 Pengenalan
Kebelakangan ini, pihak MyCERT telah mendapati terdapat sejumlah besar Maklumat Pengenalan Peribadi (Personal Identification Information - PII) telah diedarkan secara terbuka di dalam forum jenayah siber dan laman sesawang awam. Lambakan pangkalan data PII tersebut telah diperolehi dari laman sesawang yang telah diceroboh dan telah dijual melalui forum jenayah siber menggunakan mata wang Bitcoin, manakala mata wang USD pula digunakan untuk laman sesawang awam. Sebahagian dari pangkalan data tersebut juga telah disiarkan pada forum penjenayah siber untuk dijadikan bukti bahawa data yang dikumpul adalah sah. Pada masa yang sama, pengguna juga boleh mencari PII dengan menggunakan nama, alamat, nombor telefon, nombor pengenalan diri, nombor pengenalan tentera atau tarikh lahir seseorang di laman sesawang awam. Data yang didedahkan itu merupakan ancaman kepada pemilik data tersebut yang terdiri dari pelbagai organisasi dan individu.

Oleh yang demikian, MyCERT ingin menasihatkan individu supaya lebih berhati-hati dan berwaspada. Selain itu, pentadbir sistem juga perlu sentiasa mengemaskini fungsi keselamatan siber dengan mengikuti dasar amalan terbaik keselamatan siber untuk menentukan ia kekal relevan untuk digunakan.

2.0 Impak
Kesan pelanggaran data bergantung pada jenis dan tahap pelanggaran serta bentuk maklumat yang telah terjejas. Terdapat pelanggaran data yang melibatkan hanya beberapa individu manakala yang lain mungkin menjejaskan ratusan atau ribuan orang. Pelanggaran data yang melibatkan jumlah data yang besar dan luas akan menyebabkan aktiviti pemakluman dan pemulihan menjadi lebih rumit.

Impak dari pelanggaran data merangkumi perkara berikut:
• Risiko kepada keselamatan individu;
• Meningkatkan aktiviti penipuan seperti penipuan dan penyamaran;
• Kerugian kewangan kepada individu dan organisasi;
• Menjejaskan reputasi dan kedudukan perseorangan;
• Hilang kepercayaan awam terhadap agensi atau perkhidmatan yang disediakan;
• Risiko perdagangan melalui pendedahan maklumat perniagaan yang sensitif kepada pihak ketiga;
• Ancaman kepada sistem agensi, memberi kesan kepada keupayaan perkhidmatan;
• Memberi kesan buruk kepada reputasi, kewangan, kepentingan dan operasi Kerajaan; dan
• Kehilangan integriti data.

3.0 Cadangan
Perlindungan data sensitif diperlukan bukan sahaja melibatkan undang-undang atau etika tetapi ia juga berkaitan dengan kerahsiaan peribadi serta untuk menjaga reputasi perniagaan. Data sensitif melibatkan maklumat pengenalan peribadi (PII) seperti nama, nombor kad kredit, alamat e-mel atau nombor telefon pelanggan dan pekerja, serta harta intelek dan rahsia perdagangan, data khusus industri dan maklumat yang berkaitan dengan operasi dan inventori. Justeru, organisasi perlu bertanggungjawab dan meningkatkan keupayaan dalam mencegah dan mengurus pelanggaran data individu.

MyCERT telah menyediakan garis panduan berdasarkan khidmat nasihat sebelum ini yang merangkumi langkah-langkah persediaan sebelum insiden berlaku dan mencadangkan tindakan yang perlu diambil selepas insiden itu berlaku seperti di bawah:

MA-821.102021: MyCERT Alert- Amalan Terbaik Berkaitan Pelanggaran Maklumat Peribadi 
MA-746.092019: MyCERT Alert - Amalan Terbaik Keselamatan Mengenai Insiden Pelanggaran Data

Secara amnya, MyCERT menasihatkan pengguna peranti untuk melakukan pengemaskinian berdasarkan pengumuman keselamatan terkini oleh vendor dan mengikuti dasar amalan terbaik keselamatan untuk menentukan maklumat terkini yang harus digunakan.

Untuk pertanyaan lanjut, sila hubungi MyCERT melalui saluran berikut:
E-mel: cyber999[at]cybersecurity.my 
Telefon: 1-300-88-2999 (dipantau ketika waktu pejabat)  
Mobile: +60 19 2665850 (24x7 panggilan pelaporan insiden) 
Waktu Berkerja: Mon - Fri 09:00 -18:00 MYT  
Laman Web: https://www.mycert.org.my 
Twitter: https://twitter.com/mycert 
Facebook: https://www.facebook.com/mycert.org.my

4.0    Rujukan

  1. https://www.nst.com.my/news/nation/2022/06/804326/cyber-security-experts-raise-alarm-over-possible-data-breach-involving
  2. https://www.thestar.com.my/tech/tech-news/2022/05/18/data-of-malaysians-born-between-1940-and-2004-allegedly-being-sold-for-over-rm40000
  3. https://www.lowyat.net/2022/275155/miti-site-left-employee-data-under-pikas-exposed/
  4. https://codeblue.galencentre.org/2022/05/31/miti-site-allegedly-exposed-personal-data-of-workers-registered-for-covid-19-jabs/
Popular Advisories
Archives