Dua tuntutan hukum yang diajukan terhadap Ally Bank bulan ini menuduh perusahaan tersebut gagal melindungi data nasabah dari pelanggaran, dan terlalu lama memberi tahu nasabah setelah data pribadi mereka dikompromikan, termasuk nomor Jaminan Sosial.
Gugatan pelanggaran data menjadi lebih umum karena pelanggaran itu sendiri terjadi dengan frekuensi yang tak henti-hentinya. Jumlah pelanggaran data di AS meningkat dari 447 pada tahun 2012 menjadi lebih dari 3.200 pada tahun 2023, menurut
“Kita berada di titik ‘tidak aman pada kecepatan berapa pun’ dalam data,” kata konsultan Allison Sagraves, yang sebelumnya menjabat sebagai kepala petugas data di M&T Bank. “Pelanggan cukup pintar untuk mengetahui bahwa produk digital perlu dirancang dengan protokol keamanan yang wajar. Kelalaian digital itu nyata — konsumen mengharapkan perusahaan menggunakan protokol keamanan yang tepat. Pelanggaran akan terjadi, tetapi kita perlu terus berupaya membangun lalu lintas digital yang lebih aman.”
Kedua gugatan terhadap Ally Financial yang berkantor pusat di Detroit dan anak perusahaannya di bidang perbankan diajukan di Pengadilan Distrik AS Distrik Barat Carolina Utara. Keduanya mengklaim bahwa bank tersebut gagal menerapkan prosedur dan protokol keamanan siber yang memadai dan wajar yang diperlukan untuk melindungi informasi identitas pribadi nasabah.
Kedua pengaduan tersebut menyatakan penggugat berisiko mengalami penipuan dan pencurian identitas selama sisa hidup mereka. Keduanya menuntut ganti rugi, biaya pengacara, dan tindakan dari bank untuk mengatasi kekurangan keamanan sibernya. Klaim tersebut diajukan oleh firma hukum yang berbeda, tetapi berisi potongan bahasa yang identik.
Berdasarkan informasi yang disertakan dalam pengaduan, tidak jelas apakah kasus-kasus tersebut melibatkan pelanggaran data yang terpisah. Namun, kedua gugatan tersebut menggambarkan bahwa pelanggan diberi tahu pada waktu yang berbeda, yang menunjukkan bahwa kasus-kasus tersebut mungkin melibatkan insiden yang terpisah.
Ally menolak berkomentar.
Dalam salah satu pengaduan, Robert Hamilton, yang tinggal di Odessa, Texas, dan memiliki dua pinjaman mobil dengan Ally, mengatakan ia mengetahui bahwa bank tersebut telah diretas pada tanggal 1 Agustus.
Menurut Hamilton, pihak ketiga yang tidak berwenang memperoleh akses ke sistem vendor pada waktu yang tidak disebutkan, memperoleh nama lengkap, nomor Jaminan Sosial, tanggal lahir, alamat, nomor SIM, alamat email, dan nomor telepon pelanggan Ally. Vendor tersebut adalah agen penagihan Financial Business and Consumer Solutions, menurut catatan kaki dalam pengaduan tersebut.
“Serangan siber dan pelanggaran data yang terjadi merupakan akibat dari kegagalan Tergugat dalam menerapkan praktik keamanan data yang wajar dan sesuai standar industri,” demikian bunyi pengaduan tersebut. Hamilton menerima surat pemberitahuan pelanggaran data pada tanggal 30 Agustus. Pengaduan tersebut tidak menjelaskan bagaimana ia mengetahui tentang pelanggaran tersebut hampir sebulan sebelum menerima surat tersebut.
“Tergugat dapat mencegah Pelanggaran Data ini dengan mengenkripsi dengan benar atau melindungi sistemnya dan sistem yang digunakannya yang berisi Informasi Pribadi,” demikian bunyi gugatan tersebut. Gugatan tersebut mengutip pernyataan bank di situs webnya bahwa bank melindungi data nasabah: “(k)ami membatasi akses ke informasi pribadi yang diperoleh dari situs web kami hanya kepada karyawan, agen, dan kontraktor yang membutuhkannya untuk melakukan pekerjaan mereka. Kami menerapkan perlindungan administratif, teknis, dan fisik yang dirancang untuk melindungi informasi pribadi Anda.”
Keluhan Hamilton juga menuduh Ally gagal memberi tahu pelanggan bahwa pihaknya menyimpan atau membagikan informasi identitas pribadi pelanggan “pada platform (yang tidak aman), yang dapat diakses oleh pihak tidak berwenang dari internet, dan akan melakukannya setelah hubungan pelanggan berakhir.”
Hamilton meminta pengadilan untuk mewajibkan bank melakukan banyak perubahan menyeluruh pada praktik keamanan datanya, termasuk mewajibkannya mengenkripsi semua data nasabah, menghapus data mantan nasabah, menerapkan program keamanan informasi yang komprehensif, melakukan uji penetrasi, serta menggunakan firewall dan kontrol akses.
Dalam gugatan kedua, Sebestian Owens, seorang warga South Carolina, mengatakan bahwa ia menerima pemberitahuan pelanggaran data tertanggal 23 Mei. Dalam pemberitahuan tersebut, Ally Bank mengatakan bahwa pihaknya menyadari pada tanggal 23 April bahwa informasi pribadi Owens mungkin telah diakses oleh pihak yang tidak berwenang yang memperoleh akses ke sistem vendor, menurut pengaduan tersebut. Vendor tersebut tidak disebutkan namanya. Informasi yang terekspos tersebut mencakup nomor Jaminan Sosial, tanggal lahir, dan nomor rekening mobil.
Owens yakin informasi ini dipublikasikan dan dijual di web gelap oleh penjahat dunia maya, menurut gugatan tersebut. Ally gagal melindungi, mengenkripsi, atau menyunting informasi identitas pribadi yang sensitif secara memadai, menurut gugatan tersebut.
“Terpaparnya PII seseorang kepada penjahat dunia maya adalah peringatan yang tidak dapat dibunyikan kembali,” demikian bunyi gugatan tersebut. “Sebelum Pelanggaran Data ini, PII Penggugat dan Kelompok bersifat pribadi. Tidak lagi. Sekarang, PII mereka selamanya terekspos dan tidak aman.”
Gugatan hukum seperti ini akan mendorong lebih banyak investasi dalam keamanan siber, kata Sagraves. “Sebagai masyarakat yang suka menuntut, kita tidak selalu mendapatkan keseimbangan yang tepat,” katanya.
hanwhalife
hanwha
asuransi terbaik
asuransi terpercaya
asuransi tabungan
hanwhalife
hanwha
asuransi terbaik
asuransi terpercaya
asuransi tabungan
hanwhalife
hanwha
berita hanwha
berita hanwhalife
berita asuransi terbaik
berita asuransi terpercaya
berita asuransi tabungan
informasi asuransi terbaik
informasi asuransi terpercaya
informasi asuransi hanwhalife