KLIKANGGARAN--Seorang peretas yang terkait dengan agen mata-mata AS dilaporkan menyerang situs reservasi hotel Booking.com pada 2016, menargetkan diplomat asing dan individu lain di Timur Tengah. Perusahaan tidak memberi tahu pelanggan tentang peretasan tersebut.
Mengutip RT.com, terduga peretas, yang dijuluki "Andrew," mencuri "rincian ribuan pemesanan hotel" pada aplikasi Booking.com di negara-negara Timur Tengah, menurut sebuah laporan yang diterbitkan pada hari Rabu oleh surat kabar Belanda NRC Handelsblad. Artikel bom itu mengutip tuduhan yang dibuat dalam sebuah buku baru oleh para jurnalisnya.
Seorang karyawan di kantor pusat Booking.com di Amsterdam menemukan peretasan secara tidak sengaja setelah menemukan akses tidak sah melalui server yang tidak aman. Pelanggaran tersebut memberi Andrew dan rekan mereka akses ke data pelanggan, rencana perjalanan, dan nomor ID pribadi pengguna (PIN) unik.
Baca Juga: Waduh, Spyware ala Pegasus Ditemukan di Ribuan Ponsel Pintar
Peretasan Booking.com itu diverifikasi oleh tiga mantan spesialis keamanan dan seorang manajer di perusahaan itu pada saat pelanggaran itu terjadi.
Dengan mendaftarkan penyelidik swasta AS, tim keamanan Booking.com menentukan dua bulan kemudian bahwa Andrew bekerja untuk sebuah perusahaan yang menjalankan tugas dari dinas intelijen AS. Agensi sebenarnya yang terlibat dalam insiden itu tidak diidentifikasi.
Meskipun Booking.com memberi tahu badan intelijen Belanda AIVD, tampaknya tidak memberi tahu pengguna atau Otoritas Perlindungan Data Belanda (AP) - kemudian membenarkan keputusan ini dengan alasan bahwa saat itu tidak diwajibkan secara hukum untuk melakukannya.
Baca Juga: Pelatihan Digital Media Reporter Batch 1 Jabodetabek
Peretasan itu mendahului implementasi Peraturan Perlindungan Data Umum (GDPR) UE, yang mengharuskan kebocoran data diungkapkan kepada otoritas negara bagian.
Namun, sumber yang tidak disebutkan namanya mengungkapkan bahwa spesialis TI perusahaan tidak nyaman dengan keputusan manajemen - berdasarkan saran dari firma hukum Hogan Lovells yang berbasis di London - untuk merahasiakan pelanggaran tersebut.
Di bawah undang-undang privasi yang berlaku saat itu, perusahaan masih diharuskan memberi tahu orang-orang yang terkena dampak ketika pencurian data "kemungkinan akan berdampak buruk pada kehidupan pribadi individu."
Baca Juga: Mariya Lima Tahun Mengabdi untuk Pengobatan di Suku-Suku Pedalaman, Berbuah Penghargaan
Mengklaim bahwa "tidak ada informasi sensitif atau keuangan" yang diakses dalam kebocoran tersebut, perusahaan tersebut mengatakan dalam sebuah pernyataan bahwa "kepemimpinannya pada saat itu bekerja untuk mengikuti prinsip-prinsip Undang-Undang Perlindungan Data Belanda."
Di bawah undang-undang itu, perusahaan disarankan untuk mengeluarkan pemberitahuan "hanya jika ada efek negatif negatif yang sebenarnya pada kehidupan pribadi individu, yang tidak ada bukti yang terdeteksi."