Beriklan di TikTok adalah pilihan yang jelas bagi perusahaan mana pun yang mencoba menjangkau pasar generasi muda, terutama jika perusahaan tersebut adalah perusahaan perjalanan, dengan 44% Gen Z Amerika mengatakan bahwa mereka menggunakan platform tersebut untuk merencanakan liburan mereka. Namun salah satu pasar perjalanan online yang menargetkan wisatawan muda dengan iklan di platform berbagi video populer melanggar aturan GDPR ketika mitra pihak ketiga salah mengonfigurasi piksel TikTok di salah satu situs regionalnya. Sebuah studi kasus baru yang menarik mengungkapkan bagaimana perusahaan keamanan siber yang menemukan masalah tersebut dapat menghentikan pelanggaran data sehingga menjadi banjir besar yang merugikan.
Untuk studi kasus selengkapnya, klik di sini.
Bahaya Dekat Rumah
Serangan siber sering kali menjadi berita utama karena peretasan merupakan hal yang wajar untuk menarik perhatian. Kelompok-kelompok di balik serangan-serangan tersebut tampak seperti perampok di zaman modern, sosok-sosok bayangan yang dapat merampok banyak korban tanpa menyebut nama. Penjahat tak berwajah seperti ini akan selalu menarik perhatian pembaca, dan meskipun hal ini dapat dimengerti, sebaiknya kita memperhatikan beberapa risiko keamanan yang tidak terlalu dramatis yang bisa sama merusaknya.
Dikatakan bahwa jika media berita berfokus pada pemberitaan ancaman terbesar terhadap kehidupan kita, maka setiap berita akan meliput penyakit jantung dan cara mencegahnya, karena penyakit ini membunuh lebih banyak orang dibandingkan peristiwa seperti perang dan kecelakaan mobil. Sama halnya dengan ancaman dunia maya. Meskipun peretasan besar membuat kita sadar dan memperhatikan, banyak pelanggaran yang disebabkan oleh kegagalan 'pembenahan' yang sederhana dan biasa-biasa saja, dan itulah yang terjadi pada perusahaan yang ditampilkan dalam studi kasus baru yang dapat diunduh ini.
Apa yang telah terjadi?
Meskipun kami tidak akan menyebutkan nama pasar perjalanan global yang terlibat (agar tidak menimbulkan rasa malu), perusahaan keamanan siber yang menangani masalah ini bernama Reflectiz. Produk utamanya adalah platform dengan beberapa teknologi pemantauan inovatif yang menyajikan temuannya dalam dasbor yang jelas dan intuitif. Di balik terpalnya, ia memindai situs web menggunakan browser berpemilik yang meniru perilaku pengguna. Ini memetakan setiap aplikasi web pihak ketiga atau cuplikan kode yang terhubung dengan situs, termasuk objek yang tertanam di iFrames, jadi jika ada kode yang mencurigakan atau mengirim data ke tempat yang tidak seharusnya, Reflectiz akan memperhatikan dan memperingatkan pengguna.
Studi kasus merinci bagaimana salah satu pemindaiannya mengungkapkan piksel TikTok yang salah dikonfigurasi. TikTok memiliki 1,6 miliar pengguna, jadi Anda mungkin pernah mendengar namanya. Jika belum, ini adalah platform media sosial berbagi video yang berbasis di Tiongkok yang sangat populer di kalangan anak muda. Ketika perusahaan perjalanan tersebut mulai menggunakan Reflectiz, ditemukan bahwa piksel tersebut mengumpulkan dan mengirimkan data sensitif pengguna ke server TikTok di Tiongkok tanpa izin mereka, karena tidak diterapkan dengan benar.
Meskipun sepertinya tidak ada niat jahat dalam kasus ini, kesimpulan penting bagi perusahaan dengan ukuran berapa pun adalah bahwa hal ini tidak akan mengubah hasil akhir. Bisnis online yang merilis data pelanggan tanpa izin tertulis dari pengguna akan tetap melanggar peraturan privasi data seperti GDPR dan regulator mungkin akan memberikan sanksi kepada mereka.
Untuk studi kasus selengkapnya, klik di sini.
Biaya Ketidakpatuhan
Ketidakpatuhan terhadap GDPR (Peraturan Perlindungan Data Umum) dapat mengakibatkan hukuman yang signifikan:
- Denda: hingga €20 juta atau 4% dari omset global tahunan, mana saja yang lebih tinggi. Jumlah pastinya tergantung pada sifat pelanggaran dan ukuran organisasi.
- Kerusakan Reputasi: ketidakpatuhan dapat merusak reputasi organisasi, menyebabkan hilangnya kepercayaan pelanggan dan potensi peluang bisnis.
- Perintah untuk Menghentikan Pemrosesan: otoritas pengatur dapat memerintahkan perusahaan untuk berhenti memproses data pribadi, yang dapat mengganggu operasi bisnis.
- Klaim Kompensasi: individu yang terkena dampak pelanggaran dapat mengajukan tuntutan ganti rugi.
- Peningkatan Pengawasan: organisasi yang tidak patuh mungkin mendapat perhatian lebih dari regulator dan dapat diaudit.
- Biaya Hukum: pembelaan terhadap tuntutan atau denda dapat menimbulkan biaya hukum yang besar.
Meskipun hal ini terdengar agak hipotetis, regulator telah mengambil tindakan. Dalam salah satu contoh baru-baru ini, pada bulan Juni 2024, Badan Perlindungan Data Swedia (IMY) mendenda apotek online sebesar 15 juta kronor Swedia (sekitar $1,45 juta) karena menggunakan Facebook Pixel secara tidak benar. Apotek mengaktifkan fitur Pencocokan Lanjutan Otomatis (AAM) dan Peristiwa Otomatis (AE) Piksel Facebook “secara tidak sengaja”, yang mengakibatkan transfer data pribadi sensitif ke Facebook/Meta. Pelanggaran yang tidak disengaja ini berdampak pada antara 500.000 hingga satu juta orang dari tahun 2019 hingga 2021.
Untuk studi kasus selengkapnya, klik di sini.
Solusinya
Meskipun kami tidak mengetahui secara pasti skala pelanggaran dalam studi kasus perusahaan perjalanan, kami mengetahui bahwa Reflectiz mengetahui kesalahan konfigurasi TikTok sebelum dapat menimbulkan lebih banyak kerusakan, sehingga kemungkinan besar akan menghemat banyak uang bagi perusahaan dalam bentuk denda dan kehilangan reputasi.
Meskipun sangat kuat, Reflectiz tidak memerlukan instalasi. Yang ada hanyalah proses orientasi sederhana yang dimulai dengan pemindaian jarak jauh untuk memetakan seluruh ekosistem web. Setelah itu, ia terus memantau semua halaman web sensitif dan akan mendeteksi serta menandai aktivitas mencurigakan apa pun oleh komponen web mana pun.
Solusi ini dapat mengidentifikasi komponen web pihak ketiga yang melacak aktivitas pelanggan tanpa persetujuan mereka, termasuk upaya untuk menangkap lokasi geografis mereka, atau menggunakan kamera dan mikrofon mereka tanpa izin. Dengan begitu banyak hal yang dipertaruhkan, tidak ada perusahaan yang mampu mengambil risiko terkena sesuatu yang dapat dihindari seperti kesalahan konfigurasi piksel pelacakan.
Untuk kisah selengkapnya tentang kisah peringatan ini, unduh studi kasus selengkapnya di sini.