Mustafa dan restoran Kumpulan Jumbo dilanda serangan siber

Dua syarikat terkenal Singapura, Kumpulan Jumbo dan Mustafa, telah dilanda serangan siber.

Kumpulan Jumbo berkata dalam pemfailan bursa pada 23 Mei bahawa rangkaian restoran makanan laut itu mengalami “insiden perisian tebusan” baru-baru ini.

Kenyataan itu, yang ditandatangani oleh ketua eksekutif kumpulan dan pengarah eksekutif, Encik Ang Kiam Meng, tidak menyebut tarikh, tempoh atau tahap serangan tersebut, serta sama ada wang tebusan telah dibayar.

Kumpulan itu berkata, siasatan awal pihaknya dan pakar luar tidak menemui sebarang bukti data dialih keluar secara tidak sah.

“Sehingga tarikh pengumuman ini, tiada impak yang ketara kepada operasi perniagaan kumpulan ekoran insiden itu,” kata kumpulan tersebut.

Ia menambah bahawa kejadian itu telah dilaporkan kepada pihak berkuasa, termasuk polis, Suruhanjaya Perlindungan Data Peribadi (PDPC) dan Agensi Keselamatan Siber Singapura (CSA).

Kumpulan syarikat Mustafa, yang mengendalikan pusat beli-belah di Little India, pula dilanda masalah kebocoran data.

Pada 25 April, penyerang siber di forum penggodam popular, BreachForums, mendakwa telah mencuri maklumat peribadi pelanggan dan pekerja Mustafa.

Forum itu telah ditutup dalam beberapa minggu kebelakangan ini.

Penggodam itu, yang sebelum ini mendakwa telah mencuri data daripada pangkalan data sejagat yang digunakan syarikat untuk mengenal pasti potensi penjenayah, mendakwa ia telah memperoleh 180 gigabait (GB) data milik Mustafa.

Fail yang dimuat naik ke forum, yang dilihat oleh The Straits Times, mengandungi data termasuk nama penuh, nombor kad pengenalan dan alamat rumah. Fail itu telah dialih keluar.

Menjawab pertanyaan media, PDPC berkata ia sedar dan sedang menyiasat kejadian melibatkan Mustafa, dan telah menghubungi kumpulan itu untuk mendapatkan maklumat lanjut.

Sementara itu, jurucakap Mustafa berkata ia telah mendapatkan khidmat profesional keselamatan siber luar dan juruaudit, dan memulakan “semakan menyeluruh” sistem teknologi maklumatnya.

Beliau menambah: “Kami juga telah melaporkan perkara itu kepada pihak berkuasa yang berkaitan di Singapura.”

Di bawah Akta Keselamatan Siber yang telah dipinda baru-baru ini, pengendali prasarana maklumat penting (CII) di Singapura perlu mengisytiharkan sebarang gangguan keselamatan siber dan serangan yang dihadapi di premisnya atau di sepanjang rantaian bekalannya, selagi ia menjejas perkhidmatannya.

Undang-undang baru itu juga akan menambah satu kategori baru yang mewajibkan pertahanan digital entiti untuk diaudit oleh pihak berkuasa, termasuk universiti berautonomi, yang mungkin menyimpan data sensitif atau melaksanakan fungsi penting.