Pengawas privasi Singapura, Komisi Perlindungan Data Pribadi (PDPC) belum lama ini melayangkan denda kepada aplikasi layanan taksi daring GrabCar sebesar S$10 ribu. GrabHitch – unit bisnis startup Grab dinilai telah melakukan update aplikasi yang membuat data bocor dan mengancam penyalahgunaan data pribadi.
Mengutip dari channelnewsasia.com pada Selasa 15 September 2020, PDPC menyebutkan pembaruan aplikasi itu membuat sejumlah data pengguna dan driver berisiko diakses secara tidak sah. Hal ini termasuk pelanggaran keempat dari peraturan privasi data dan tergolong penyebab kekhawatiran yang signifikan.
Saat itu, pembaruan aplikasi tersebut hanya berlangsung selama 40 menit karena Grab langsung mengembalikan ke aplikasi versi sebelumnya dan mengambil langkah korektif.
“Bisnis yang melibatkan pemrosesan data pribadi dalam jumlah besar setiap harinya melahirkan kekhawatiran yang signifikan” ujar Wakil Komisaris PDPC Yeong Zee Kin seperti yang dikutip dari channelnewsasia.com.
Pada 30 Agustus 2019, GrabCar melaporkan kepada PDPC bahwa data profil 5.651 pengemudi GrabHitch terpapar risiko akses tidak sah oleh pengemudi GrabHitch lainnya lewat aplikasi Grab. Setelah ditelisik, penyebabnya adalah pembaruan pada aplikasi di hari yang sama.
Menurut Yeong, Uniform Resource Locator (URL) antarmuka pemrograman aplikasi tersebut memungkinkan pengemudi GrabHitch untuk mengakses data mereka. Melalui itu, pengemudi dapat melihat ID pengguna, sehingga berpotensi untuk dimanipulasi dan digunakan untuk mengakses data pengemudi lain.
Untuk memperbaiki risiko tersebut, perseroan melakukan pembaruan dan menghapus ID pengguna dari URL. Kemudian, ID pengguna tersebut disingkat menjadi “pengguna/profil” dengan kode statik (hard-coded).
Namun, perusahaan layanan taksi daring tersebut gagal memperhitungkan mekanisme cache berbasis URL di aplikasi tersebut. Mekanisme cache itu terkonfigurasi untuk melakukan penyegaran setiap 10 detik. Mekanisme ini menyajikan konten yang disimpan dalam cache sebagai tanggapan atas permintaan data. Sehingga dapat mengurangi beban akses langsung ke database GrabCar.
Kendati demikian, Yeong menilai GrabCar tidak menerapkan proses yang cukup kuat untuk mengelola perubahan pada sistem teknologi informasinya. Hal itu pun dapat membahayakan data pribadi yang sedang diproses.
“Ini adalah kesalahan yang sangat besar, mengingat ini adalah kedua kalinya (GrabCar) melakukan kesalahan serupa meski dengan sistem yang berbeda,” sebut Yeong.
Di sisi lain, Grab mengaku telah menerapkan proses yang lebih kuat untuk mencegah kesalahan itu terulang kembali. “Kami telah memperkenalkan proses yang lebih kuat, terutama yang berkaitan dengan pengujian lingkungan teknologi informasi kami,” ungkap Grab. Perseroan juga melakukan pembaruan pada prosedur tata Kelola dan tinjauan arsitektur dari aplikasi lama miliknya.