Pakar: Data Nasabah KreditPlus Bocor Sejak Juli

Pakar keamanan siber dari CISSReC Pratama Persadha menyebut kasus kebocoran data nasabah KreditPlus telah terjadi sejak 16 Juli lalu.

Hal ini diungkap Pratama merespons dugaan data nasabah KreditPlus bocor yang ramai di internet.

"Sebenarnya data KreditPlus sudah lama dibagikan pada pertengahan bulan lalu. Tepatnya di tanggal 16 Juli anggota raid forums dengan nama ShinyHunters," kata Pratama dalam keterangan tertulis yang diterima CNNIndonesia.com, Senin (3/8).

"Seperti biasa, member di raidforums membagikannya melalui sistem pembayaran kredit, mata uang forum tersebut yang jika dirupiahkan sekitar 50 ribu rupiah." 
 
KreditPlus sendiri merupakan layanan pembiayaan produk multi guna sepeda motor, mobil, dan peralatan berat. Perusahaan ini dimiliki oleh PT Finansia Multi Finance, dan berdiri sejak 1994.

Menurut Prasadha, jika pembeli menebus dengan sejumlah uang di forum itu, mereka akan diberikan sebuah tautan yang dapat mengunduh file berisi 896 ribu data pelanggan Kreditplus.

File unduhan sebesar 78MB tersebut harus di ekstrak dan menghasilkan sebuah file sebesar 430MB. Menurut keterangan Pratama, file tersebut berisi 896.169 baris yang berisi data pelanggan mulai dari Nama lengkap, NIK, email, status pekerjaan, alamat, data keluarga penjamin pinjaman, tanggal lahir, nomor telepon, dan beberapa data pribadi lainnya.

Ia menuturkan, kelengkapan data tersebut dapat dimanfaatkan oleh oknum jahat yang menyalahgunakan data untuk tindak kriminal.

Oleh sebab itu, Pratama mendesak Pemerintah untuk hadir dalam permasalahan ini. Negara harus memiliki tanggung jawab untuk melakukan percepatan pembahasan RUU Perlindungan Data Pribadi.

Nantinya dalam UU tersebut harus disebutkan bahwa setiap penyedia jasa sistem elektronik yang tidak mengamankan data masyarakat, bisa dituntut ganti rugi dan dibawa ke pengadilan.

Selain itu, pihak penyelenggara sistem transaksi elektronik (PSTE) harus mulai menjadikan data penggunanya sebagai prioritas keamanan.

"Masalah utama di tanah air belum ada UU yang memaksa para penyedia jasa sistem elektronik ini untuk mengamankan dengan maksimal data masyarakat yang dihimpunnya," lanjutnya.

Ia mencontohkan, beberapa negara di Eropa telah menerapkan regulasi perlindungan data konsumen General Data Protection Regulation (GDPR).

"Setiap data yang dihimpun harus diamankan dengan enkripsi. Bila terbukti lalai, maka penyedia jasa sistem elektronik bisa dikenai tuntutan sampai 20 juta euro," kata dia.

Sebelumnya, seorang pengguna akun Twitter, Teguh Aprianto (@secgron), mencuitkan dalam sebuah status, yang memperlihatkan bahwa sebanyak 896.170 data nasabah KreditPlus bocor dan dijual oleh akun Megadimarus di salah satu forum underground.

"896 ribu data milik KreditPlus bocor dan dijual. Data yang bocor diantaranya, Nama, KTP, Email, Password, Alamat, Nomor HP, Data pekerjaan, Data keluarga penjamin," cuitnya.

Dalam unggahan itu juga terlihat, Di RaidForums, akun Megadimarus mengunggah basis data pelanggan KreditPlus pada 27 Juni 2020. Kumpulan data tersebut dibanderol dengan harga 1.500 dolar AS atau jika dikonversikan ke dalam rupiah sekitar Rp22 juta.

Selain KreditPlus, beberapa perusahaan startup seperti Tokopedia dan Bukalapak juga sempat mengalami kejadian serupa.