Informasi pribadi sekitar 4.000 orang di milis online Singapore Art Museum (SAM) dikompromikan baru-baru ini, kata museum seni kemarin.
Nama, alamat email, nomor telepon dan, dalam beberapa kasus, kebangsaan orang-orang ini dipublikasikan secara ilegal di situs web penyimpanan yang berbasis di Selandia Baru mega.co.nz selama setidaknya dua jam pada 5 November sebelum halaman web yang berisi file data dihapus.
Dapat dipahami bahwa tidak ada nomor kartu identitas atau rincian kartu kredit yang terlibat.
Berbicara kepada wartawan setelah konferensi pers, Rosa Daniel, wakil sekretaris (budaya) di Kementerian Kebudayaan, Komunitas dan Pemuda dan kepala eksekutif Dewan Warisan Nasional, mengatakan: “Kami mengambil pandangan yang sangat serius tentang insiden ini.”
Dia menambahkan: “Apa yang ditunjukkannya adalah agar kita waspada dan mengambil langkah-langkah kuat untuk mengamankan informasi kita.”
Pada 4 November, Infocomm Development Authority (IDA) mendapat kabar tentang tweet oleh seorang individu bernama “CtrlSalad” yang mengaku memiliki “3.6k” e-mail, nomor, nama dan alamat IP termasuk Pemerintah. Itu juga menyediakan tautan ke situs web mega.co.nz.
Pada 5 November, IDA memberi tahu SAM tentang tweet CtrlSalad dan bahwa datanya mungkin telah dipublikasikan secara ilegal dan diunggah di server luar negeri.
Museum segera mengajukan laporan polisi dan menghapus file data yang tersimpan di situs web SAM.
Tweet lain pada 5 November yang mungkin telah dihapus mengatakan: “Oh, saya suka menjadi saya! Haruskah saya merilis Database Singapura yang saya duduki? Hmmm… atas nama @RaptorSwagger dan #TheSwagWagon.”
Tidak jelas apakah CtrlSalad ada di Singapura atau di tempat lain, tetapi The Swag Wagon tampaknya merupakan kelompok peretas.
Polisi bekerja sama dengan SAM dan Dewan Warisan Nasional untuk menyelidiki insiden tersebut, dan tidak mengesampingkan kemungkinan apa pun termasuk peretasan. The Straits Times memahami bahwa polisi juga menanyai mereka yang memiliki akses ke data yang dikompromikan.
5 November adalah Hari Guy Fawkes, di mana seseorang yang mengaku dari kelompok peretas global Anonymous telah mengancam akan menandai dengan serangan dunia maya di Singapura.
SAM mengatakan tidak dapat memperingatkan publik lebih awal karena lembaga investigasi membutuhkan waktu untuk “memverifikasi dan menetapkan tingkat insiden”. Museum mulai menghubungi orang-orang yang terkena dampak kemarin untuk memberi tahu mereka tentang informasi yang dipublikasikan secara ilegal. Orang-orang ini telah menghadiri acara SAM pada tahun 2011 dan 2013.
Dalam salinan emailnya yang diperoleh The Straits Times, SAM mengatakan “dengan tulus meminta maaf atas apa yang terjadi” dan bahwa pihaknya telah “mengambil langkah-langkah untuk meningkatkan keamanan siber kami untuk mencegah terjadinya insiden semacam itu di masa depan”.
The Straits Times memahami SAM telah melakukan pemeriksaan back-end untuk mengeraskan sistem jika memungkinkan. Pengamanan tambahan sedang diberlakukan, seperti pemindaian kerentanan server dan aplikasi yang lebih teratur.
SAM juga telah menghapus formulir online yang meminta pelanggan untuk rincian mereka, dan sekarang akan memiliki pelanggan e-mail mereka secara langsung. Data akan disimpan di “pusat data yang lebih aman”.
Data yang dikompromikan telah disimpan di server SAM yang menjalankan situs web museum.
“Ini adalah cara yang nyaman untuk menyimpan data tetapi akan jauh lebih baik jika institusi menyimpan data pribadi pelanggan di server terpisah dengan lebih banyak lapisan pertahanan,” kata ketua bersama Aliansi Kesadaran Keamanan Siber, Ms Shirley Wong.