Louis Vuitton, Dior & Tiffany Didenda Rp25 Juta Akibat Kebocoran Data 5,5 Juta Pelanggan
Tiga brand mewah dunia—Louis Vuitton, Christian Dior Couture, dan Tiffany & Co.—dijatuhi denda total sekitar $25 juta oleh otoritas perlindungan data Korea Selatan akibat kebocoran data besar-besaran yang berdampak pada lebih dari 5,5 juta pelanggan.
Ketiganya merupakan bagian dari grup raksasa fashion global LVMH dan mengalami insiden keamanan setelah hacker mendapatkan akses ke sistem manajemen pelanggan berbasis cloud (SaaS).
🏛 Otoritas Korea Selatan Jatuhkan Sanksi
Personal Information Protection Commission (PIPC) menyatakan bahwa ketiga perusahaan gagal menerapkan kontrol keamanan yang memadai untuk melindungi data pelanggan.
Total denda yang dijatuhkan:
- Louis Vuitton: $16,4 juta
- Dior Korea Selatan: $9,4 juta
- Tiffany: $1,85 juta
🔓 Bagaimana Kebocoran Terjadi?
1️⃣ Louis Vuitton – Malware di Perangkat Karyawan
Dalam kasus Louis Vuitton:
- Perangkat karyawan terinfeksi malware
- Hacker memperoleh akses ke sistem SaaS manajemen pelanggan
- Data sekitar 3,6 juta pelanggan bocor
PIPC menyebutkan bahwa sejak 2013, Louis Vuitton:
- Tidak membatasi akses berdasarkan IP address
- Tidak menerapkan metode autentikasi yang kuat untuk akses eksternal
- Tidak membatasi kontrol keamanan pada sistem cloud
Peneliti Google sebelumnya mengaitkan kampanye ini dengan grup peretas ShinyHunters, yang dikenal menargetkan platform seperti Salesforce.
2️⃣ Dior – Phishing & Keterlambatan Pelaporan
Pada kasus Dior:
- Karyawan customer service menjadi korban phishing
- Hacker mendapatkan akses ke sistem SaaS
- Data 1,95 juta pelanggan terekspos
Kegagalan keamanan Dior meliputi:
- Tidak menerapkan IP allow-list
- Tidak membatasi unduhan data massal
- Tidak memantau log akses dengan baik
- Terlambat mendeteksi pelanggaran selama lebih dari 3 bulan
Selain itu, Dior melaporkan insiden ke PIPC 5 hari setelah mengetahuinya, padahal hukum Korea Selatan (PIPA) mewajibkan pelaporan maksimal 72 jam.
3️⃣ Tiffany – Voice Phishing
Tiffany mengalami insiden melalui teknik voice phishing, di mana pelaku menyamar dan menipu staf customer service untuk memberikan akses sistem.
Dampaknya lebih kecil:
- Sekitar 4.600 pelanggan terdampak
Namun, Tiffany juga gagal:
- Membatasi akses berbasis IP
- Mengontrol unduhan data massal
- Memberi notifikasi tepat waktu kepada pelanggan
📂 Data Apa yang Bocor?
Data pelanggan yang terekspos meliputi:
- Nama lengkap
- Nomor telepon
- Alamat rumah
- Riwayat pembelian
- Dalam beberapa kasus: informasi identitas
Tidak disebutkan adanya kebocoran password atau data pembayaran langsung, namun data personal yang terekspos tetap sangat sensitif.
⚖️ Pesan Tegas dari Regulator
PIPC menegaskan bahwa penggunaan solusi SaaS tidak mengalihkan tanggung jawab keamanan kepada vendor cloud.
Perusahaan tetap bertanggung jawab penuh atas pengamanan data pelanggan mereka.
Ini menjadi peringatan penting bagi perusahaan global yang mengandalkan sistem cloud untuk manajemen pelanggan.
📌 Kesimpulan
Kasus ini menunjukkan bahwa:
- Cloud bukan jaminan keamanan otomatis
- Kontrol akses dan monitoring sangat krusial
- Keterlambatan pelaporan dapat memperberat sanksi
- Human error (phishing, malware) masih menjadi titik lemah utama
Dengan total lebih dari 5,5 juta pelanggan terdampak, kasus ini menjadi salah satu denda perlindungan data terbesar yang dijatuhkan otoritas Korea Selatan terhadap perusahaan global di sektor fashion mewah.
