Suatu hari di bulan Oktober, klien fintech andalan Scalable Capital menerima email. Email tersebut bukan dari Scalable, tetapi dari orang asing yang memiliki kotak surat di layanan email terenkripsi Tutanota. Pesan mengerikan sampai ke penerimanya:

Kebetulan kami memiliki informasi pribadi tentang Anda. Anda dapat menemukan data Anda di sini:

Nama, nomor rekening, nomor telepon dan salinan ID Anda kini dapat dilihat di layar.

Silakan hubungi kami agar kami dapat menemukan solusinya

Pengguna dengan cepat menyadari dari mana data tersebut berasal dan memposting isi email pemerasan di forum online. “Ini 100 persen data yang saya gunakan untuk registrasi Scalable,” tulisnya dengan nama samaran. “Adakah saran tentang apa yang harus saya lakukan dalam kasus seperti ini?”

Pengguna lain juga melaporkan email dengan konten serupa. Scalable Capital, penasihat robo yang berbasis di Munich, memberi tahu sekitar 31,000 klien pada 19 Oktober bahwa seseorang dengan pengetahuan internal perusahaan telah mengakses data mereka. Detail rekening, nomor pajak, dan laporan keamanan jatuh ke tangan yang salah. Sejauh ini, tidak ada bukti bahwa aset pelanggan telah diakses, kata perusahaan tersebut. Beberapa dari mereka yang terkena dampak telah menangani panggilan yang tidak diinginkan sejak pertengahan Oktober:

Seandainya Scalable tidak menerima informasi tentang upaya penyalahgunaan identitas mereka pada tanggal 16 Oktober, pelanggan kemungkinan besar tidak akan mengetahui hingga hari ini bahwa data mereka telah menjadi korban serangan orang dalam. Perusahaan kemudian melakukan analisis ekstensif, di mana semua orang dan dokumen yang terkena dampak diidentifikasi. Perusahaan menetapkan bahwa ini adalah apa yang disebut serangan orang dalam, tulis Scalable sebagai tanggapan atas permintaan kami.

Baca juga

Pencurian data di Scalable Capital: “Apa yang sebenarnya terjadi masih menjadi misteri,” keluh seorang pengacara

Yang selama ini kurang mendapat perhatian dalam pemberitaan adalah pencurian data tersebut tidak terjadi pada pertengahan Oktober, melainkan jauh lebih awal. Seseorang dengan pengetahuan internal mengakses arsip data beberapa kali antara bulan April dan Oktober 2020 dan menggunakan data pelanggan. Scalable Capital memenuhi kewajibannya berdasarkan GDPR dan memberi tahu pelanggan yang terkena dampak dalam waktu tiga hari. Scalable tidak akan mengatakan apakah perusahaan telah mengidentifikasi karyawan yang mencurigakan atau mengajukan keluhan terhadap orang tak dikenal.

Dari informasi tersebut, Scalable di situs web Anda sendiri Bagaimanapun, menjadi jelas bahwa 31.000 pelanggan tidak mengetahui selama enam bulan bahwa seseorang menggunakan data pribadi mereka dan menyebarkannya ke pihak ketiga. Hal ini menimbulkan pertanyaan besar mengenai perlindungan data di sektor fintech.

Data tersebut memiliki bobot yang nyata

Johann Hermann, direktur pelaksana Uni Eropa untuk Perlindungan Data (EUGD) di Munich, mengatakan bahwa perusahaan fintech mungkin perlu berinvestasi lebih banyak dalam keamanan data. “Fintech perlu mengambil tindakan pencegahan yang sama seperti bank,” jelas Hermann.

EuGD juga mencapai kasus pertama dalam kasus Scalable, di mana pelanggan berada di bawah tekanan dengan data mereka sendiri. “Ini sangat mengkhawatirkan bagi pengguna,” jelas Hermann. Organisasi ini memberikan dukungan kepada mereka yang terkena dampak yang ingin menegaskan hak mereka atas privasi dan perlindungan data serta menuntut kompensasi.

Karena meskipun Scalable Capital harus membayar denda karena melanggar perlindungan data, mereka yang terkena dampaknya tidak mendapatkan keuntungan. Peraturan Perlindungan Data Umum (GDPR) memperjelas bahwa pelanggan dapat menuntut perusahaan meskipun terjadi kerugian non-materiil. “Kualitas datanya sangat tinggi,” kata Hermann. Jika seseorang mengetahui dari kliennya bahwa dia bisa mempertaruhkan beberapa juta euro di bursa saham, itu penting, jelas Hermann.

“Mereka yang terkena dampak mungkin berpendapat bahwa privasi mereka dan hak dasar atas penentuan nasib sendiri telah dilanggar dan mereka tidak lagi merasa aman karena hilangnya data, yang juga dapat menyebabkan pencurian identitas,” lanjut Hermann.

Hermann pertama-tama meninjau klaim pelanggan secara gratis dan memperkirakan bahwa mereka memiliki peluang bagus untuk mendapatkan kompensasi dari perusahaan. “Dalam kasus saat ini di Scalable Capital, kami melihat kompensasi sebesar EUR 3.000 – 5.000 cukup realistis,” kata direktur pelaksana EuGD. Hermann dan organisasinya akan mendapat bagian keuntungan jika gugatannya berhasil. Seperti yang dia pelajari dari pelanggaran data Mastercard tahun lalu, ada baiknya kita bekerja sama saat menuntut ganti rugi. Pada bulan Agustus 2019, 90.000 pelanggan di Jerman terkena dampak pelanggaran data Mastercard – di mana ia mewakili 1.000 pelanggan.

Apakah Anda juga punya pengalaman dengan kebocoran data di fintech seperti Scalable? Kemudian hubungi [email protected]