Rincian pemberitahuan pelanggaran data Samsung • TechCrunch

Technology

beberapa jam yang lalu Selama akhir pekan di AS, raksasa elektronik Samsung mengumumkan bahwa sistem AS-nya telah diretas sebulan lalu oleh peretas jahat yang masuk dengan informasi pribadi dari sejumlah pelanggan yang tidak diungkapkan dan merilis informasi pribadi mereka.

Pelanggaran data cenderung signifikan. Samsung adalah salah satu perusahaan teknologi terbesar dengan ratusan juta pemilik perangkat – dan pengguna – di seluruh dunia. Tetapi penjelasan Samsung yang buruk tentang pelanggaran data, ditambah dengan keterlambatan yang tidak dapat dijelaskan dalam mengungkapkan pelanggaran data, membuat pelanggan membaca daun teh tanpa gagasan yang jelas tentang apa, jika ada, yang dapat mereka lakukan untuk melindungi diri mereka sendiri.

TechCrunch telah menandai dan Detail pemberitahuan pelanggaran data Samsung ️ Dengan analisis kami tentang apa artinya – dan apa yang ditinggalkan Samsung.

Juru bicara Samsung, melalui perusahaan komunikasi krisis Edelman, menolak untuk menanggapi pertanyaan yang kami ajukan sebelum publikasi, dengan alasan “sifat berkelanjutan dari koordinasi kami dengan penegak hukum.”

Apa yang dikatakan Samsung dalam pemberitahuan pelanggaran datanya

Samsung memahami bahwa insiden keamanan ini adalah pelanggaran data

Tidak semua insiden keamanan diciptakan sama. Peretas jahat tidak selalu mencuri data. Itu tergantung pada bagaimana sistem dan jaringan perusahaan diatur dan seberapa jauh peretas pergi. Dalam hal ini, Samsung mengetahuinya Data itu “diperoleh”. – atau intrusi – oleh peretas.

Ingat, ini hanya pengungkapan awal pelanggaran. Samsung memberi Anda setidaknya apa yang perusahaan katakan kepada Anda. Fakta bahwa peretas memperoleh akses ke informasi pribadi pelanggan menunjukkan bahwa Samsung tidak melindungi data tersebut sebagaimana mestinya, atau bahwa peretas memiliki akses ke jaringan Samsung sejauh mereka dapat mengakses data pelanggan dan mungkin file yang sangat sensitif lainnya. . Ini adalah pelanggaran data kedua yang diketahui Samsung tahun ini setelah kru peretas Lapsus$ mencuri kode sumber dan dokumen internal rahasia lainnya dari sistem perusahaan pada bulan Maret, meskipun tidak ada informasi pelanggan yang ditemukan.

Informasi pribadi pelanggan dicuri

Samsung Dikatakan dalam pemberitahuan pelanggaran informasinya bahwa peretas “dalam beberapa kasus” mengambil nama pelanggan, informasi kontak dan demografis, tanggal lahir, dan informasi pendaftaran produk. Ini menunjukkan bahwa tidak semua pelanggan Samsung terpengaruh, tetapi itu bisa berarti bahwa Samsung masih tidak tahu berapa banyak data yang dicuri dalam pelanggaran datanya.

Nama dan tanggal lahir adalah informasi pribadi. Kurang jelas informasi lain apa yang dicuri, tetapi petunjuknya ada di kebijakan privasi.

Samsung sebelumnya mengatakan kepada TechCrunch bahwa ketika pelanggan mendaftarkan perangkat mereka, mereka memberikan informasi untuk mengakses layanan dan dukungan, informasi garansi, pembaruan perangkat lunak, dan penawaran eksklusif untuk membeli produk Samsung di masa mendatang. Data ini mencakup model produk Samsung, tanggal pembelian, dan pengenal perangkat unik, seperti nomor IMEI untuk ponsel dan ID promosi, atau nomor seri perangkat lain seperti smart TV.

Pengidentifikasi unik dirancang untuk menjadi nama samaran sehingga rangkaian huruf dan angka acak ini tidak banyak berguna jika terjadi pelanggaran data. Namun pengidentifikasi unik tidak sepenuhnya anonim dan dapat digabungkan dengan data lain untuk menargetkan iklan atau mengidentifikasi pengguna atau melacak aktivitas online orang.

Data demografis mencakup data lokasi geografis terperinci

Pengumuman pelanggaran data Samsung mencakup penyebutan yang tidak jelas tentang “informasi demografis” yang dicuri oleh para peretas. Samsung mengatakan itu mengumpulkan Informasi demografis ini tidak diketahui Untuk “membantu memberikan pengalaman terbaik dengan produk dan layanan” – atau cara lain untuk mengatakan iklan bertarget.

Kebijakan Privasi Samsung AS menjelaskan hal ini dengan jelas. “Jaringan iklan memungkinkan kami untuk menargetkan pesan kami kepada pengguna berdasarkan data demografis, asumsi minat pengguna, dan konteks penjelajahan. Jaringan ini dapat melacak aktivitas online pengguna dari waktu ke waktu dengan mengumpulkan informasi melalui cara otomatis, termasuk melalui penggunaan cookie browser, suar web, piksel, pengidentifikasi perangkat, log server, dan teknologi serupa lainnya.

Samsung menolak untuk memberi tahu TechCrunch apa yang termasuk dalam “informasi demografis” data spesifik, tetapi ada lebih banyak petunjuk dalam kebijakan privasi terpisah perusahaan untuk iklan, yang ditautkan dalam pemberitahuan pelanggaran data, menjelaskan apa yang termasuk dalam informasi demografis.

Daftarnya panjang dan Anda harus meluangkan waktu dan membacanya dengan cermat. Versi singkatnya adalah Samsung mengumpulkan informasi teknis tentang ponsel Anda atau perangkat lain, cara Anda menggunakan perangkat, seperti aplikasi yang Anda instal dan situs web yang Anda kunjungi, dan cara Anda berinteraksi dengan iklan, yang disajikan oleh pengiklan, dan Pialang data yang dikumpulkan, digunakan untuk inferensi. Informasi tentang Anda Data ini juga dapat mencakup “Data Geolokasi Tepat” Anda, yang dapat digunakan untuk mengidentifikasi ke mana Anda pergi dan siapa yang Anda temui. Samsung mengatakan mengumpulkan informasi tentang apa yang Anda tonton di TV pintar Anda, termasuk saluran dan program yang telah Anda tonton.

Samsung juga mengatakan “dapat memperoleh data perilaku dan demografis lainnya dari sumber data pihak ketiga tepercaya,” yang berarti bahwa Samsung membeli data dari perusahaan lain dan menggabungkannya dengan penyimpanan data pelanggannya sendiri untuk mempelajari lebih lanjut tentang Anda. Dapatkan lebih banyak, lagi untuk target iklan. Samsung tidak mengatakan perusahaan mana yang menerima data ini, seperti pialang data.

Tetapi data yang sama, di tangan aktor jahat, dapat mengungkapkan banyak hal tentang seseorang dan kebiasaan online mereka.

Mengapa Samsung tidak menyatakan semua ini dalam pemberitahuan pelanggaran datanya? Meskipun data mungkin tidak dapat diidentifikasi secara pribadi, data tersebut masih bersifat pribadi karena berkaitan dengan selera, preferensi, dan aktivitas kita di dunia nyata, itulah sebabnya detail pasti tentang apa yang dikumpulkan oleh perusahaan seperti Samsung tentang Anda sering kali terkubur jauh di dalam. Kebijakan privasi yang tidak dibaca siapa pun (dan kita semua bersalah karenanya).

Samsung menolak untuk mengatakan apakah ada sumber data pihak ketiga yang dikompromikan dalam pelanggaran tersebut, tetapi juru bicara tidak akan membahas secara spesifik ketika dihubungi sebelum dipublikasikan.

Apa yang tidak dikatakan Samsung dalam pemberitahuan pelanggaran datanya

Samsung tidak akan mengatakan berapa banyak pelanggan yang terpengaruh

Samsung menolak memberi tahu TechCrunch berapa banyak pelanggan yang terpengaruh oleh pelanggaran tersebut. Samsung mungkin tidak tahu, yang tidak mungkin karena telah mengirim email kepada pelanggan yang diyakini terpengaruh. Atau, Apa yang lebih mungkin?adalah bahwa jumlah pelanggan yang terpengaruh sangat tinggi sehingga Samsung tidak ingin Anda mengetahuinya karena perusahaan menganggapnya memalukan.

Samsung memiliki ratusan juta pengguna, tetapi jarang mengatakan berapa banyak pelanggan yang dimilikinya. Bahkan 1% dari pelanggan yang terpengaruh masih dapat menjangkau jutaan atau puluhan juta pengguna yang terpengaruh.

Tidak jelas mengapa nomor Jaminan Sosial dicantumkan

Pemberitahuan pelanggaran data Catatan dengan jelas ️ bahwa pelanggaran “tidak mempengaruhi nomor jaminan sosial atau nomor kartu kredit dan debit.” Tampaknya menghibur, tetapi kata-katanya tidak jelas. TechCrunch bertanya kepada Samsung apakah itu mengumpulkan dan menyimpan nomor Jaminan Sosial dan data itu tidak terpengaruh, tetapi perusahaan menolak untuk mengatakan – hanya bahwa itu “tidak memengaruhi” nomor Jaminan Sosial. Samsung mengumpulkan nomor jaminan sosial sebagai bagian dari opsi keuangannya dan sebagai persyaratan bagi pengguna Samsung Money.

Mengapa butuh waktu sebulan untuk memberi tahu pelanggan?

melihat ke Garis waktu pelanggaran ️Samsung mengatakan para peretas mencuri data pada “akhir Juli 2022,” yang berarti pembacaan yang murah hati mulai dari pertengahan Juli. Samsung dapat mengungkapkan tanggal – jika mengetahuinya. Perlu juga dicatat bahwa ini adalah tanggal Samsung mengatakan data diekstraksi dari jaringannya, dan itu tidak termasuk jumlah waktu yang dihabiskan peretas untuk sistem Samsung sebelum akhirnya ditemukan. Ini menemukan pelanggaran data pada 4 Agustus, yang berarti Samsung tidak tahu data pelanggan telah dicuri selama berminggu-minggu.

Bagaimana dengan mengungkapkan pelanggaran sebulan kemudian, hanya beberapa jam sebelum akhir bisnis pada hari Jumat sebelum akhir pekan yang panjang? Yah, itu hanya PR yang buruk.

Samsung memperbarui kebijakan privasinya dengan pengungkapan pelanggaran

Pada hari yang sama ketika Samsung mengumumkan pelanggaran data, itu juga menerapkan kebijakan privasi baru untuk penggunanya. Berkat pembaca yang memberi tahu TechCrunch, kebijakan baru sekarang memperjelas bahwa Samsung dapat menggunakan “geolokasi tepat” pelanggan untuk pemasaran dan periklanan dengan persetujuan pengguna. Kebijakan baru ini juga menguraikan berapa lama Samsung menyimpan data yang dibagikan pengguna dari fitur Quick Share. Samsung mengatakan mungkin “mengumpulkan konten yang Anda bagikan, yang akan tersedia selama 3 hari.”

TechCrunch bertanya kepada Samsung bagaimana mendefinisikan apa yang didefinisikan sebagai kepuasan pengguna, tetapi juru bicara tidak akan mengatakannya. Samsung tidak akan mengatakan mengapa menerapkan kebijakan privasi baru, tetapi mengklaim pembaruan itu “tidak terkait” dengan insiden itu dan telah direncanakan sebelumnya.


Jika Anda memiliki informasi lebih lanjut tentang pelanggaran data Samsung atau bekerja di Samsung, Anda dapat menghubungi penulis melalui Signal di +1 646.755.8849 atau melalui SecureDrop.


Source link

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.