Pencurian Data Pribadi Nyata, Ini Heboh 11 Serangan Siber Sepanjang 2020
Reporter
Antara
Editor
Zacharias Wuragil
Rabu, 23 Desember 2020 19:37 WIB
TEMPO.CO, Jakarta - Pandemi COVID-19 membuat banyak kegiatan mau tidak mau beralih ke ruang digital, yang mengubah gaya hidup mulai dari belajar, bekerja hingga berbelanja. Dengan meningkatnya ketergantungan pada teknologi digital, meningkat pula ancaman serangan siber.
Sejumlah platform belanja online paling banyak menghadapi serangan siber sepanjang 2020 ini. Platform media sosial juga tak lepas dari ulah para peretas, begitu juga dengan platform teknologi bidang keuangan. Bahkan, situs salah satu lembaga negara juga menjadi incaran para pelaku kejahatan siber.
Baca juga:
Sebut Serangan Siber di Fasiitas Nuklir, Iran: Kami akan Balas
Seluruh serangan mengincar data pribadi para pengguna di platform-platform itu. Berikut rangkuman yang dikutip dari Antara mengenai berita peretasan yang menghebohkan sepanjang 2020.
1. Tokopedia
Pada awal Mei, platform belanja online Tokopedia dilaporkan dibobol setelah seorang peretas mengklaim memiliki data 15 juta pengguna Tokopedia di dark web. Data yang diretas, seperti yang diumumkan, berupa nama, alamat email dan password.
Belakangan, diduga kebocoran data ini menimpa pengguna dalam jumlah yang lebih besar, sebanyak 91 juta pengguna. Tokopedia memberi notifikasi pada semua pengguna mereka sambil memulai penyelidikan dan memastikan akun dan transaksi di platform tersebut tetap aman.
2. Bukalapak
Beberapa hari berselang, Bukalapak dikabarkan kembali diretas, namun hal itu dibantah oleh platform belanja online tersebut. Bukalapak mengatakan keamanan data pengguna menjadi prioritas, dan selalu mengimplementasi berbagai upaya demi meningkatkan keamanan dan kenyamanan para pengguna, serta memastikan data-data pengguna tidak disalahgunakan.
Tautan yang beredar, menurut Bukalapak, adalah informasi dari kejadian tahun lalu di mana data 13 juta pengguna mereka dibobol. Pada peretasan 2019, Bukapalak mengklaim sudah menemukan sumber peretasan dan menghentikan akses tersebut. Selain itu, mereka juga mengingatkan para pengguna untuk secara berkala mengganti kata kunci, sambil perusahaan memperkuat sistem keamanan.
3. Bhinneka
Beberapa hari setelah itu, tepatnya pada 10 Mei, kelompok peretas bernama ShinyHunters mengklaim telah membobol sepuluh perusahaan, salah satunya e-commerce b to b asal Indonesia, Bhinneka. Kelompok peretas, yang kabarnya juga dalang peretasan Tokopedia, dilaporkan membobol 1,2 juta data pengguna
Bhinneka, dan menjualnya di pasar web gelap atau dark web.
Bhinneka menekankan bahwa keamanan dan kenyamanan pelanggan saat berbelanja selalu menjadi prioritas. Mereka juga menyatakan telah menerapkan standar keamanan global PCI DSS (Payment Card Industry Data Security Standard) dari TUV Rheinland untuk melindungi pelanggan.
4. KPU
Masih pada Mei, tepatnya 22 Mei, peretas mengklaim telah membobol 2,3 juta data warga Indonesia dari Komisi Pemilihan Umum (KPU). Informasi itu datang dari akun @underthebreach, yang sebelumnya mengabarkan kebocoran data ecommerce Tokopedia.
<!--more-->
Akun itu juga menyebutkan bahwa peretas membocorkan informasi 2.300.000 warga Indonesia. Data termasuk nama, alamat, nomor ID dan tanggal lahir. Data tersebut tampaknya merupakan data 2013.
Tidak hanya itu, peretas juga mengklaim akan membocorkan 200 juta data lainnya. Dalam cuitannya, @underthebreach mengunggah foto tangkapan layar di sebuah forum peretas di mana sang peretas menyebutkan bahwa data ID termasuk NIK dan NKK.
Baca juga:
Resmi, Sekolah Tinggi Sandi Negara Menjadi Politeknik Siber dan Sandi Negara
KPU langsung mengecek data internal mereka sejak adanya klaim peretasan tersebut.
5. Data Covid-19
Pada akhir Juni, muncul kabar yang menyebutkan peretasan basisdata Covid-19. Kementerian Komunikasi dan Informatika (Kominfo) menelusuri dugaan peretasan itu dan mengatakan database Covid-19 dan hasil cleansing yang ada di pusat data aman. Kominfo juga berkoordinasi dengan Badan Siber dan Sandi Negara (BSSN), selaku penanggung jawab keamanan data Covid-19 di Indonesia.
Pelaku peretasan atas nama Database Shopping di dark web RaidForums menjual data pasien Covid-19 di Indonesia 18 Juni. Peretas mengaku data tersebut diambil pada pembobolan 20 Mei. Fitur spoiler di situs gelap menunjukkan data yang diambil antara lain berupa ID pengguna, jenis kelamin, usia, nomor telepon, alamat tinggal hingga status pasien.
Peretas diduga mengantongi 230.000 data dalam format MySQL dalam unggahan di situs gelap tersebut.
6. Twitter
Pertengahan Juli giliran platform media sosial Twitter yang mengalami serangan siber. Akun Twitter sejumlah tokoh dunia, termasuk co-founder Microsoft Bill Gates, kandidat presiden AS saat itu, Joe Biden, bintang acara reality show Kim Kardashian dan suaminya Kanye West, mantan presiden AS Barack Obama, CEO Amazon Jeff Bezos, hingga CEO Tesla Elon Musk diretas.
Twitter melalui akun resmi Twitter Support menduga peretas masuk ke sistem internal mereka sehingga bisa mengambil alih akun-akun besar dan terverifikasi. Hacker, kata Twitter, menggunakan akses tersebut untuk mengambil alih akun-akun besar kemudian memanfaatkannya untuk penipuan bitcoin.
7. Kreditplus
Pada awal Agustus, data nasabah platform digital Kreditplus diduga bocor di forum internet. Menurut Lembaga Riset Keamanan Siber dan Komunikasi CISSReC, sebanyak 819.976 data nasabah Kreditplus yang bocor meliputi nama, KTP, email, status pekerjaan, alamat, data keluarga penjamin pinjaman, tanggal lahir, dan nomor telepon.
Kementerian Komunikasi dan Informatika (Kominfo) menyatakan sudah mengirimkan surat kepada pengelola platform digital Kreditplus mengenai dugaan bocornya data pengguna. Kominfo menegaskan Kreditplus sebagai penyelenggara sistem elektronik (PSE) wajib memenuhi standard perlindungan data pribadi sebagaimana diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
<!--more-->
Selain itu, PSE juga tunduk pada Peraturan Menteri Kominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.
8. ShopBack
Pada akhir September, perusahaan platform cashback e-commerce ShopBack menemukan akses tidak sah ke data pribadi pelanggan. Segera setelah mengetahui insiden ini, ShopBack mengatakan telah melakukan tindakan pengamaman, dan akses tidak sah tersebut telah dihapus.
Baca juga:
Mata-mata Siber dari Cina Kuasai Komputer Diplomat Indonesia
ShopBack menegaskan bahwa cashback dan kata sandi/password pengguna tetap aman dan terenkripsi. Aplikasi cashback tersebut juga mengimbau pengguna untuk tidak menggunakan kata sandi/password yang sama dengan yang digunakan pada aplikasi lainnya.
9. RedDoorz
Pada saat yang bersamaan dengan ShopBack, RedDoorz mengirim surat elektronik serupa kepada pelanggan. Jaringan penginapan budget online itu mengakui adanya akses tidak sah masuk dalam sistemnya yang melibatkan data pengguna pelanggan pada awal September.
RedDoorz mengungkapkan jenis pelanggaran data termasuk nama pelanggan, email, nomor telepon, alamat dan rincian pemesanan. Meski begitu, RedDoorz mengatakan data yang terkait dengan informasi keuangan pengguna, seperti kartu kredit dan password masih aman.
10. RedMart, Lazada
Pada akhir Oktober, platform RedMart milik platform belanja online Lazada dilaporkan mengalami peretasan. Lazada menemukan upaya peretasan tersebut pada 29 Oktober lalu di Singapura. Isu keamanan data tersebut melibatkan basisdata khusus RedMart yang di-hosting oleh penyedia layanan pihak ketiga.
Peretas mendapatkan nama, nomor telepon, email, alamat, kata sandi yang terenkripsi dan sebagian nomor kartu kredit dari pelanggan RedMart. Data ini digunakan di aplikasi dan situs web RedMart sebelumnya, yang sekarang sudah tidak lagi digunakan.
Lazada memastikan bahwa data para pelanggan Lazada di Asia Tenggara, termasuk Indonesia, tidak terpengaruh oleh kejadian ini.
11. Cermati
Pada 1 November, startup bidang teknologi keuangan, Cermati.com, dilaporkan telah diretas namun mereka segera mengambil tindakan untuk memastikan keamanan data pengguna. Hal itu diungkapkan Cermati.com dalam surat elektronik kepada pelanggan.
Dalam email tersebut, Cermati.com mengatakan telah mengambil langkah-langkah penanganan, yakni melakukan investigasi dan menghapus akses yang tidak sah untuk memastikan data pengguna tetap terjaga. Termasuk bekerja sama dengan lembaga pemerintah maupun ahli keamanan informasi eksternal independen untuk membantu meningkatkan keamanan secara menyeluruh.