Louis Vuitton, Dior, dan Tiffany Didenda Rp 423 Miliar Imbas Kebocoran Data 5,5 Juta Pelanggan

Liputan6.com, Jakarta - Otoritas perlindungan data Korea Selatan menjatuhkan denda total sebesar USD 25 juta (sekitar Rp 423 miliar) kepada tiga raksasa mode mewah di bawah grup Louis Vuitton Moët Hennessy (LVMH) yakni Louis Vuitton, Christian Dior Couture, dan Tiffany.

Sanksi ini diberikan menyusul kegagalan perusahaan dalam menerapkan sistem keamanan yang memadai, berujung pada bocornya data pribadi lebih dari 5,5 juta pelanggan.

Komisi Perlindungan Informasi Pribadi (Personal Information Protection Commission/PIPC) Korea Selatan menyatakan bahwa peretasan ini terjadi setelah pelaku serangan siber berhasil menembus layanan manajemen pelanggan berbasis cloud (SaaS) milik ketiga merek tersebut.

Peneliti keamanan dari Google mengaitkan kampanye serangan ini dengan kelompok peretas ShinyHunters, yang menargetkan platform Salesforce. Demikian sebagaimana dikutip dari Bleeping Computer, Kamis (19/2/2026).

Louis Vuitton menerima denda paling berat, yakni sebesar USD 16,4 juta. Investigasi PIPC mengungkapkan bahwa perangkat salah satu karyawan terinfeksi malware, yang menjadi pintu masuk peretas untuk mengakses data 3,6 juta pelanggan.

PIPC menyoroti kelalaian fatal Louis Vuitton yang telah menggunakan alat SaaS tersebut sejak 2013 tanpa pengamanan dasar yang ketat.

"Perusahaan tidak membatasi hak akses berdasarkan alamat IP dan tidak menerapkan metode autentikasi yang aman saat pengelola informasi pribadi mengakses layanan dari luar jaringan kantor," tulis laporan PIPC.

Selain denda materil, Louis Vuitton diwajibkan harus mengumumkan penalti ini secara terbuka di situs resmi bisnis mereka.

Sementara itu, Christian Dior Couture dijatuhi denda USD 9,4 juta. Kebocoran yang menimpa 1,95 juta pelanggan ini bermula dari serangan phishing terhadap staf layanan pelanggan.

Dior dinilai lalai karena beberapa poin krusial:

• Minim Kontrol: Tidak menerapkan allow-list (daftar putih) akses dan gagal membatasi pengunduhan data dalam jumlah besar.
• Abaikan Log Akses: Perusahaan tidak memeriksa log akses secara rutin, sehingga peretasan baru terdeteksi tiga bulan setelah kejadian.
• Pelanggaran Regulasi: Dior baru melaporkan insiden tersebut ke PIPC lima hari setelah mengetahuinya. Berdasarkan Undang-Undang Perlindungan Informasi Pribadi (PIPA) Korea Selatan, organisasi wajib melapor maksimal dalam waktu 72 jam.

Merek perhiasan Tiffany juga tidak luput dari sanksi dengan denda sebesar USD 1,85 juta. Meskipun jumlah pelanggan yang terdampak jauh lebih kecil (sekitar 4.600 orang), modus operandi yang digunakan peretas serupa, yakni melalui voice phishing untuk mengelabui staf.

Sama seperti dua rekan grupnya, Tiffany terbukti mengabaikan kontrol akses berbasis IP dan gagal memberikan notifikasi kepada individu yang terdampak dalam jangka waktu yang ditetapkan hukum.

Melalui kasus ini, PIPC menegaskan bahwa penggunaan solusi pihak ketiga atau SaaS tidak melepaskan tanggung jawab perusahaan terhadap keamanan data konsumen.

"Penggunaan solusi SaaS tidak mengecualikan perusahaan dari tanggung jawab mereka untuk mengelola data klien secara aman, juga tidak mengalihkan tanggung jawab tersebut kepada vendor penyedia solusi," tegas pihak PIPC.

Data sensitif yang terpapar dalam insiden ini meliputi nama, nomor telepon, alamat email, alamat pos, hingga riwayat pembelian pelanggan. Kasus ini menjadi alarm keras bagi industri barang mewah global mengenai pentingnya investasi di sektor siber sebanding dengan citra eksklusivitas merek mereka.