Salesforce, salah satu perusahaan perangkat lunak manajemen hubungan pelanggan (CRM) terbesar di dunia, sedang menghadapi kritik keras akibat terungkapnya insiden keamanan yang melibatkan akses tidak sah ke data pelanggan. Informasi ini pertama kali muncul dari laporan oleh perusahaan keamanan siber, TrailLink, yang menyoroti praktik yang dianggap meragukan dalam cara Salesforce menangani dan mengamankan data pelanggan yang disimpan oleh layanan pihak ketiga.
TrailLink melakukan investigasi terhadap beberapa layanan Salesforce, termasuk layanan call center dan dukungan pelanggan, dan menemukan bahwa Salesforce secara aktif mengumpulkan data pelanggan dari layanan-layanan ini dan menyimpannya di server eksternal yang tidak memiliki tingkat keamanan yang sama dengan infrastruktur Salesforce sendiri. Data ini termasuk nama, alamat, nomor telepon, alamat email, dan bahkan riwayat panggilan serta interaksi pelanggan lainnya. Data sensitif ini, yang seharusnya dilindungi dengan ketat, justru disimpan di lokasi yang rentan terhadap serangan siber dan kebocoran data.
Perusahaan ini menggunakan layanan pihak ketiga untuk memproses panggilan dan memberikan dukungan pelanggan, tetapi laporan TrailLink mengungkapkan bahwa Salesforce tidak melakukan uji tuntas (due diligence) yang memadai terhadap vendor-vendor ini. Selain itu, Salesforce juga tidak memiliki kontrol yang cukup untuk memastikan bahwa data pelanggan yang dikumpulkan melalui layanan-layanan ini disimpan secara aman dan tidak disalahgunakan. Bahkan, Salesforce diduga tidak memberikan pemberitahuan yang jelas kepada pelanggan tentang bagaimana data mereka dikumpulkan dan digunakan oleh layanan pihak ketiga.
Insiden ini menimbulkan kekhawatiran serius tentang praktik keamanan Salesforce dan dampaknya terhadap pelanggannya. Pelanggan merasa data mereka, yang seharusnya menjadi hak mereka, justru diakses oleh pihak yang tidak berwenang dan tidak memiliki standar keamanan yang sama dengan Salesforce. Hal ini membuka pintu bagi potensi pelanggaran data, pencurian identitas, dan penyalahgunaan informasi pribadi.
TrailLink menuduh Salesforce telah mengabaikan praktik terbaik keamanan siber dan telah melanggar komitmennya untuk melindungi data pelanggan. Laporan tersebut juga menyoroti kurangnya transparansi dari Salesforce dalam menangani masalah ini, yang semakin memperburuk keadaan. Perusahaan telah merespon dengan meminta maaf dan menyatakan bahwa mereka sedang mengambil langkah-langkah untuk mengatasi masalah tersebut, termasuk meningkatkan proses uji tuntas vendor, memperketat kontrol keamanan, dan meningkatkan transparansi terhadap pelanggan.
Namun, kritik terhadap Salesforce terus berlanjut, dengan banyak pakar keamanan siber dan regulator menyerukan penyelidikan lebih lanjut dan tindakan hukum. Insiden ini menjadi pengingat penting bagi perusahaan teknologi untuk memprioritaskan keamanan data pelanggan dan untuk memastikan bahwa mereka mematuhi standar keamanan yang paling ketat. Selain itu, kejadian ini menggarisbawahi perlunya regulasi yang lebih ketat terhadap praktik pengumpulan dan penyimpanan data oleh perusahaan-perusahaan besar seperti Salesforce, untuk melindungi hak-hak privasi pelanggan dan mencegah pelanggaran data di masa depan. Tindakan korektif yang diambil Salesforce harus diuji secara menyeluruh untuk memastikan bahwa masalah keamanan yang mendasar telah teratasi secara permanen.