Dua tuntutan hukum yang diajukan terhadap Ally Bank bulan ini menuduh perusahaan tersebut gagal melindungi data pelanggan dari pelanggaran dan membutuhkan waktu terlalu lama untuk memberi tahu pelanggan setelah data pribadi disusupi, termasuk nomor Jaminan Sosial.
Tuntutan hukum pelanggaran data menjadi lebih umum karena pelanggaran itu sendiri terjadi dengan frekuensi yang tiada henti. Jumlah pelanggaran data di AS meningkat dari 447 pada tahun 2012 menjadi lebih dari 3.200 pada tahun 2023,
“Kami berada pada titik ‘tidak aman pada kecepatan apa pun’ dalam hal data,” kata konsultan Allison Sagraves, yang sebelumnya menjabat sebagai chief data officer di M&T Bank. “Pelanggan cukup pintar untuk mengetahui bahwa produk digital perlu dirancang dengan protokol keamanan yang masuk akal. Kelalaian digital memang nyata – konsumen mengharapkan perusahaan menggunakan protokol keamanan yang tepat. Pelanggaran akan terjadi, namun kita harus terus berupaya membangun lalu lintas digital yang lebih aman.”
Kedua gugatan terhadap Ally Financial yang berbasis di Detroit dan anak perusahaan perbankannya diajukan ke Pengadilan Distrik AS untuk Distrik Barat Carolina Utara. Keduanya menuduh bank tersebut gagal menerapkan prosedur dan protokol keamanan siber yang memadai dan wajar yang diperlukan untuk melindungi informasi identitas pribadi nasabah.
Kedua pengaduan tersebut mengatakan bahwa penggugat berisiko mengalami penipuan dan pencurian identitas selama sisa hidup mereka. Keduanya menuntut ganti rugi, biaya pengacara, dan tindakan bank untuk mengatasi kerentanan keamanan sibernya. Tuntutan hukum diajukan oleh firma hukum yang berbeda tetapi berisi cuplikan dalam bahasa yang sama.
Berdasarkan informasi yang disertakan dalam pengaduan, tidak jelas apakah kasus tersebut melibatkan pelanggaran data terpisah. Namun kedua gugatan tersebut menjelaskan bahwa pelanggan diberi tahu pada waktu yang berbeda, sehingga menunjukkan bahwa keduanya mungkin merupakan insiden yang berbeda.
Ally menolak berkomentar.
Dalam salah satu pengaduannya, Robert Hamilton, yang tinggal di Odessa, Texas, dan memiliki dua pinjaman mobil dengan Ally, mengatakan dia mengetahui bank tersebut telah dibobol pada 1 Agustus.
Menurut Hamilton, pihak ketiga yang tidak berwenang memperoleh akses ke sistem vendor pada waktu yang dirahasiakan, memperoleh nama lengkap, nomor Jaminan Sosial, tanggal lahir, alamat, nomor SIM, alamat email, dan nomor telepon pelanggan Ally. Penjualnya adalah agen penagihan Bisnis Keuangan dan Solusi Konsumen, menurut catatan kaki dalam pengaduan.
“Serangan dunia maya dan pelanggaran data yang terjadi adalah akibat dari kegagalan Tergugat dalam menerapkan praktik keamanan data yang wajar dan standar industri,” demikian isi tuntutan tersebut. Hamilton menerima surat pemberitahuan pelanggaran data pada 30 Agustus. Pengaduan tersebut tidak menjelaskan bagaimana dia mengetahui pelanggaran tersebut hampir sebulan sebelum menerima surat tersebut.
“Tergugat dapat mencegah Pelanggaran Data ini dengan mengenkripsi dengan benar atau melindungi sistemnya dan sistem yang digunakannya yang berisi Informasi Pribadi,” demikian isi pengaduan tersebut. Ia mengutip klaim bank di situs webnya bahwa mereka melindungi data pelanggan: “[w]kami membatasi akses terhadap informasi pribadi yang diperoleh dari situs web kami hanya untuk karyawan, agen, dan kontraktor yang memerlukannya untuk melakukan pekerjaan mereka. Kami menjaga pengamanan administratif, teknis dan fisik yang dirancang untuk melindungi informasi pribadi Anda.”
Keluhan Hamilton juga menuduh Ally gagal memberi tahu pelanggan bahwa mereka menyimpan atau membagikan informasi identitas pribadi pelanggan “di [unsecure] platform, dapat diakses oleh pihak yang tidak berwenang dari internet, dan akan melakukannya setelah hubungan pelanggan berakhir.”
Hamilton meminta pengadilan untuk mewajibkan bank melakukan beberapa perubahan besar terhadap praktik keamanan datanya, termasuk mewajibkan bank mengenkripsi semua data nasabah, menghapus data mantan nasabah, menerapkan program keamanan informasi komprehensif, melakukan pengujian pena, dan menggunakan firewall. dan kontrol akses.
Dalam gugatan kedua, Sebestian Owens, seorang warga Carolina Selatan, mengatakan dia menerima pemberitahuan pelanggaran data tertanggal 23 Mei. Dalam pemberitahuan tersebut, Ally Bank mengatakan pihaknya menyadari pada tanggal 23 April bahwa informasi pribadi Owens mungkin telah diakses oleh pihak tidak berwenang yang memperoleh akses ke sistem vendor, menurut pengaduan tersebut. Penjualnya tidak disebutkan namanya. Informasi yang terpapar antara lain nomor Jaminan Sosial, tanggal lahir dan nomor rekening mobil.
Owens yakin informasi ini dipublikasikan dan dijual di web gelap oleh penjahat dunia maya, menurut gugatannya. Ally gagal melindungi, mengenkripsi, atau menyunting informasi pribadi sensitif secara memadai, kata pengaduan tersebut.
“Pengungkapan PII seseorang kepada penjahat dunia maya adalah sebuah peringatan yang tidak boleh dibunyikan,” kata pengaduan tersebut. “Sebelum Pelanggaran Data ini, Penggugat dan PII Kelompok adalah milik pribadi. Sekarang, PII mereka selamanya terekspos dan tidak aman.”
Tindakan hukum seperti ini akan memacu lebih banyak investasi di bidang keamanan siber, kata Sagraves. “Sebagai masyarakat yang religius, kita tidak selalu mendapatkan keseimbangan ini dengan benar,” katanya.
