Jantung Tidak Memiliki Hati untuk Pelanggaran Pelanggan

Pada hari Selasa, salah satu hari berita tersibuk dari tahun, Heartland Pembayaran diam-diam merilis pernyataan yang menyatakan sistem pemrosesan kartu perusahaan telah diretas. Karena perusahaan menangani lebih dari 100 juta transaksi kartu kredit setiap bulan melayani lebih dari 250.000 bisnis mulai dari restoran hingga pengecer hingga sistem penggajian, kemungkinan seseorang di setiap negara dipengaruhi oleh kehilangan data besar ini.

Grafik: Diego AguirreBerikut bagaimana peretasan bekerja: dalam perjalanan ke pusat pemrosesan Heartland, perangkat lunak pengendus data menangkap informasi kartu kredit dari strip magnetik kartu. Ini termasuk semua yang diperlukan untuk menduplikasi kartu: nomor kartu, tanggal kedaluwarsa, dan kode bank internal. Pelanggaran di akun pribadi Anda sulit dideteksi, karena pencuri kartu kredit sering menguji perairan dengan membelanjakan satu dolar atau kurang pada kartu untuk memastikan kartu masih aktif dan dapat mengirimkan tagihan penipuan.

Menurut New York Times, pencuri data memperkenalkan malware Heartland sedini Mei, dan Heartland tidak membuka matanya sampai akhir musim gugur 2008. Kemudian Heartland memilih hari pelantikan untuk membuat pengumumannya.

[Bacaan lebih lanjut: Cara hapus malware dari PC Windows Anda Robert Baldwin Jr., presiden dan kepala keuangan Heartland, mengatakan kepada media bahwa terlalu dini untuk memperkirakan berapa banyak orang yang terpengaruh. Baldwin mengatakan perbandingan terhadap pelanggaran data TJX tahun 2007, ketika 45 juta nomor kartu kredit dan debit dicuri, adalah prematur, dan itu tidak adil untuk menyebut ini pelanggaran terbesar data keuangan yang pernah.

Analis keamanan data tidak setuju. Analis keamanan data, Avivah Litan mengatakan kepada Times, "Jika Anda menambahkan semuanya, termasuk biaya legal, itu bisa menjadi kerugian hingga setengah miliar dolar - atau dua kali lebih besar daripada TJX."

Jadi apa langkah Heartland selanjutnya? USA Today mengutip Baldwin mengatakan Heartland berencana untuk "memberi tahu setiap korban yang datanya dicuri untuk mematuhi undang-undang pengungkapan kehilangan data di lebih dari 30 negara." Lebih dari 30 negara bagian: 44 negara memiliki undang-undang pengungkapan kehilangan data pada buku-buku, dan undang-undang federal tertunda. Berdasarkan kata-kata Baldwin, tampaknya Heartland bersedia hanya melakukan minimal dan mematuhi undang-undang negara bagian daripada mengambil upaya ekstra untuk memberi tahu setiap pelanggan, terlepas dari hukum, tentang apakah data mereka telah dicuri.

Masalahnya memburuk. Menurut USA Today, firma keamanan CardCops telah melacak 20 persen peningkatan tahun per tahun peretas yang menguji kumpulan nomor kartu pembayaran untuk memastikan mereka masih aktif. "Angka-angka bisa berasal dari prosesor, seperti Heartland, atau sumber lain yang memiliki akses ke banyak data pelanggan tetapi bukan pengecer," Dan Clements, presiden CardCops, mengatakan USA Today.

Tindakan Heartland berbau penyangkalan. Ini memalukan dan menjijikkan ketika peretas melanggar institusi dan penjarahan keuangan besar, dan itu pasti merusak reputasi perusahaan. Tetapi jika perusahaan mengatakan tidak mau menerima tanggung jawab dan mengambil tindakan untuk mendukung pelanggannya, itu pantas menjadi bagian dari kesalahan. Terlebih lagi, itu hanya semakin mengotori kepercayaan konsumen, yang, mengingat resesi, sudah dalam kesedihan.