Jakarta, CNN Indonesia --
Pandemi Covid-19 membuat banyak kegiatan beralih ke ruang digital. Namun hal itu memicu peningkatan ancaman keamanan siber. Sejumlah platform belanja online, media sosial hingga aplikasi bidang keuangan mengalami kebocoran data. Bahkan, situs salah satu lembaga negara juga menjadi incaran para pelaku kejahatan siber.
Berikut jajaran aksi peretasan atau hacker yang berhasil membobol data dan beberapa di antaranya dijual di forum:
BRI Life
Kasus yang masih segar adalah dugaan data pribadi nasabah BRI Life dicuri akhir Juli 2021. Kasus itu bermula saat perusahaan pemantau kejahatan cyber, Hudson Rock menyebutkan dalam akun twitternya bila pencurian data dialami BRI Life.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
Database yang bocor memiliki pin polis asuransi (sha1), lengkap tentang pelanggan yang menggunakan ASURANSI BRI LIFE, total manfaat, dan total periode tahun.
Ada sebanyak 463.519 file dokumen dengan ukuran mencapai 252 GB dan juga ada file database berisi 2 juta nasabah BRI Life berukuran 410MB. Untuk sampel sendiri yang diberikan berukuran 2,5 GB berisi banyak file dokumen. Dua file lengkap tersebut ditawarkan dengan harga US$7.000 dan dibayarkan dengan bitcoin.
Dari sampel yang didapat, datanya sangat lengkap. Mulai dari data mutasi rekening, bukti transfer setoran asuransi, KTP, ada juga tangkapan layar perbicangan WA nasabah dengan pegawai BRI Life, dokumen pendaftaran asuransi, KK, beberapa formulir pernyataan diri dan kesanggupan, bahkan lengkap dengan polis asuransi jiwa juga lengkap disertakan.
Ahli menyimpulkan sumber kebocoran data akibat peretasan, bukan hasil jual beli data dari pihak internal atau pegawai.
BPJS Kesehatan
Sebanyak 279 juta data penduduk Indonesia yang bocor dan dijual di forum hacker diduga berasal dari BPJS Kesehatan pada Mei 2021. Dewan Pengawas (Dewas) BPJS Kesehatan mencermati risiko keamanan nasional pada isu kebocoran data yang diduga milik BPJS Kesehatan.
Pasalnya, data yang bocor tersebut mencakup data kependudukan anggota TNI dan Polri. Data yang dijual itu terdiri dari namma lengkap, KTP, nomor telepon, email, NID dan alamat.
Saat ini polisi terkait dengan penjualan data kependudukan yang diduga berasal dari perusahaan pelat merah itu.
Tokopedia
Platform belanja online Tokopedia juga mengalami peretasan, setelah seorang peretas mengklaim memiliki data dari 15 juta pengguna Tokopedia didark web. Data yang diretas, seperti yang diumumkan peretas berupa nama, alamat email danhashed password.
Kementerian Komunikasi dan Informatika (Kominfo) menyatakan kemungkinan data yang diambil adalah nama, alamat email dan nomor ponsel. Belakangan, diduga kebocoran data ini menimpa pengguna dalam jumlah yang lebih besar, sebanyak 91 juta pengguna.
Tak lama setelah mengetahui kejadian tersebut, Tokopedia memberi notifikasi pada semua pengguna mereka sambil memulai penyelidikan dan memastikan akun dan transaksi di platform tersebut tetap aman.
Bukalapak
Bukalapak kembali diretas, namun hal itu dibantah oleh platform perdagangan online tersebut. Bukalapak mengatakan keamanan data pengguna menjadi prioritas, dan selalu mengimplementasi berbagai upaya demi meningkatkan keamanan dan kenyamanan para pengguna, serta memastikan data-data pengguna tidak disalahgunakan.
Tautan yang beredar, menurut Bukalapak, adalah informasi dari kejadian tahun lalu. Pada peretasan 2019 lalu, Bukapalak menyatakan sudah menemukan sumber peretasan dan menghentikan akses tersebut.
Selain itu, mereka juga mengingatkan para pengguna untuk secara berkala mengganti kata kunci, sambil perusahaan memperkuat sistem keamanan. Bukalapak mengalami kasus peretasan tahun lalu, berakibat pada data 13 juta pengguna mereka diambil.
Pada akhir Juni 2020, muncul kabar yang menyebutkan dugaan peretasan COVID-19. Kementerian Komunikasi dan Informatika (Kominfo) menelusuri dugaan peretasan basis data pasien COVID-19 tersebut.
Kominfo mengatakan database COVID-19 dan hasil cleansing yang ada di data center aman. Kominfo juga berkoordinasi dengan Badan Siber dan Sandi Negara (BSSN), selaku penanggung jawab keamanan data COVID-19 di Indonesia.
Seorang peretas atas nama Database Shopping didark web Raid Forums menjual basis data dari pasien COVID-19 di Indonesia, tertanggal 18 Juni. Peretas mengaku data tersebut diambil pada pembobolan 20 Mei lalu.
Fitur spoiler di situs gelap menunjukkan data yang diambil antara lain berupa ID pengguna, jenis kelamin, usia, nomor telepon, alamat tinggal hingga status pasien. Peretas diduga mengantongi 230.000 data dalam format MySQL dalam unggahan di situs gelap tersebut.
Bhinneka
10 Mei 2020, kelompok peretas bernama ShinyHunters mengklaim telah membobol sepuluh perusahaan, salah satunyae-commerce b to basal Indonesia, Bhinneka.
Kelompok peretas, yang kabarnya juga merupakan dalang peretasan Tokopedia, dia dilaporkan membobol 1,2 juta data pengguna Bhinneka, dan menjualnya di pasar web gelap atau dark web.
Bhinneka menekankan bahwa keamanan dan kenyamanan pelanggan saat berbelanja selalu menjadi prioritas, dan telah menerapkan standar keamanan global PCI DSS (Payment Card Industry Data Security Standard) dari TUV Rheinland untuk melindungi pelanggan.
Twitter
Pertengahan Juli 2020 giliran platform media sosial Twitter yang mengalami serangan siber.
Akun Twitter sejumlah tokoh dunia, termasuk co-founder Microsoft Bill Gates, kandidat presiden AS saat itu, Joe Biden, bintang acarareality showKim Kardashian dan suaminya Kanye West, mantan presiden AS Barack Obama, CEO Amazon Jeff Bezos, hingga CEO Tesla Elon Musk diretas.
Twitter melalui akun resmi Twitter Support menduga peretas masuk ke sistem internal mereka sehingga bisa mengambil alih akun-akun besar dan terverifikasi. Hacker, kata Twitter, menggunakan akses tersebut untuk mengambil alih akun-akun besar kemudian mencuitkan permintaan mengirim bitcoin.
KreditPlus
Pada awal Agustus 2020, data nasabah platform digital Kreditplus diduga bocor di forum internet. Sebanyak 819.976 data nasabah Kreditplus yang bocor adalah data sensitif, meliputi nama, KTP, email, status pekerjaan, alamat, data keluarga penjamin pinjaman, tanggal lahir, dan nomor telepon.
Kominfo menyatakan sudah mengirimkan surat kepada pengelola platform digital Kreditplus mengenai dugaan bocornya data pengguna.
Kominfo menegaskan Kreditplus sebagai penyelenggara sistem elektronik (PSE) wajib memenuhi standard perlindungan data pribadi sebagaimana diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Selain itu, PSE juga tunduk pada Peraturan Menteri Kominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.
8. ShopBack
Pada akhir September 2020, perusahaan platformcashback e-commerceShopBack mengumumkan insiden yang melibatkan akses tidak sah ke data pribadi pelanggan, dalam s urat elektronik kepada pelanggan.
Segera setelah mengetahui insiden ini, ShopBack mengatakan telah melakukan tindakan pengamaman, dan akses tidak sah tersebut telah dihapus. ShopBack menegaskan bahwacashbackdan kata sandi/password pengguna tetap aman dan terenkripsi.
Aplikasicashbacktersebut juga mengimbau pengguna untuk tidak menggunakan kata sandi/password yang sama dengan yang digunakan pada aplikasi lainnya.
22 Mei 2020, peretas mengklaim telah membobol 2,3 juta data warga Indonesia dari Komisi Pemilihan Umum (KPU). Informasi itu datang dari akun @underthebreach, yang sebelumnya mengabarkan kebocoran data e-commerce Tokopedia.
Akun itu juga menyebutkan bahwa peretas membocorkan informasi 2.300.000 warga Indonesia. Data termasuk nama, alamat, nomor ID dan tanggal lahir. Data tersebut tampaknya merupakan data tahun 2013.
Tidak hanya itu, peretas juga mengklaim akan membocorkan 200 juta data lainnya. Dalam cuitannya, @underthebreach mengunggah foto tangkapan layar di sebuah forum peretas di mana sang peretas menyebutkan bahwa data ID termasuk NIK dan NKK. KPU langsung mengecek data internal mereka sejak adanya klaim peretasan tersebut.
RedDoorz
Pada saat yang bersamaan dengan ShopBack, jaringan penginapan budget online RedDoorz, mengirimkan surat elektronik serupa kepada pelanggan.
Dalam email tersebut, jaringan penginapanbudget onlineitu mengakui adanya akses tidak sah masuk dalam sistemnya yang melibatkan data pengguna pelanggan pada awal September.
RedDoorz mengungkapkan jenis pelanggaran data termasuk nama pelanggan, email, nomor telepon, alamat dan rincian pemesanan. Meski begitu, RedDoorz mengatakan data yang terkait dengan informasi keuangan pengguna, seperti kartu kredit dan password masih aman.
Perusahaan tersebut juga mengatakan telah mengambil langkah untuk menginvestigasi sekaligus melakukan evaluasi pada sistem TI. RedDoorz memastikan akun password terenkripsi.
Namun, perusahaan menyarankan agar pelanggan tidak menggunakan password yang sama pada platform digital lainnya, serta mengganti password jika dirasa perlu untuk tindakan pencegahan.
RedMart, Lazada
Pada akhir Oktober 2020, platform RedMart milik platform belanja online Lazada dilaporkan mengalami peretasan.
Lazada menemukan upaya peretasan tersebut pada 29 Oktober lalu di Singapura. Isu keamanan data tersebut melibatkan basis data khusus RedMart yang di-hostingoleh penyedia layanan pihak ketiga.
Peretas mendapatkan nama, nomor telepon, email, alamat, kata sandi yang terenkripsi dan sebagian nomor kartu kredit dari pelanggan RedMart. Data ini digunakan di aplikasi dan situs web RedMart sebelumnya, yang sekarang sudah tidak lagi digunakan.
Lazada memastikan bahwa data para pelanggan Lazada di Asia Tenggara, termasuk Indonesia, tidak terpengaruh oleh kejadian ini.
Cermati
Pada 1 November, startup bidang teknologi keuangan, Cermati.com, dilaporkan telah diretas namun mereka segera mengambil tindakan untuk memastikan keamanan data pengguna.
Hal itu diungkapkan Cermati.com dalam surat elektronik kepada pelanggan. Dalam email tersebut, Cermati.com mengatakan telah mengambil langkah-langkah penanganan, yakni melakukan investigasi dan menghapus akses yang tidak sah untuk memastikan data pengguna tetap terjaga.
Selanjutnya, bekerja sama dengan lembaga pemerintah antara lain dengan Badan Siber dan Sandi Negara (BSSN) untuk melakukan investigasi atas kejadian ini, dan berdiskusi dalam mengambil langkah-langkah yang tepat untuk memastikan keamanan dan perlindungan terhadap data pengguna.
Cermati.com juga bekerja sama dengan ahli keamanan informasi eksternal independen untuk membantu meningkatkan keamanan secara menyeluruh.
