Data Cermati dan Lazada Bocor, E-Commerce dan Fintech Incaran Peretas
Data pengguna perusahaan teknologi finansial (fintech) agregator Cermati dan e-commerce Lazada diretas. Berdasarkan riset Palo Alto Networks, kedua sektor ini memang diincar para peretas (hacker).
Bobolnya 2,9 juta data pengguna Cermati diungkapkan oleh pendiri komunitas Ethical Hacker Indonesia Teguh Aprianto melalui Twitter. Informasi yang diretas berupa nama lengkap, e-mail, alamat, nomor ponsel, rekening, pekerjaan, nomor induk kependudukan (NIK), nomor pokok wajib pajak (NPWP) hingga nama ibu kandung pengguna. Data ini dijual US$ 2.200.
Co-founder Cermati Andhy Koesnandar mengakui data pengguna bocor. Setelah mendeteksi adanya akses masuk tidak sah ke platform, perusahaan bersama dengan Badan Siber dan Sandi Negara (BSSN) serta ahli keamanan siber eksternal langsung menginvestigasi.
Kemudian menghapus akses tidak sah itu di platform untuk mengamankan data pengguna. "Kami menginformasikan mengenai peretasan kepada pengguna dan terus mengimbau mereka untuk menjalankan langkah pengamanan secara berkala," kata Andhy kepada Katadata.co.id, Senin (2/11).
Perusahaan juga mewajibkan semua pengguna menerapkan autentikasi dua faktor atau two-factor authentication ketika log in. "Ini untuk mencegah akses yang tidak seharusnya pada akun terkait," ujarnya.
Cermati juga memperkuat sistem keamanan, dengan mengembangkan arsitektur teknologi informatika (IT) dan Application Programming Interface (API) yang tahan terhadap serangan siber.
Fintech agregator tersebut menyediakan layanan keuangan seperti pinjaman, kartu kredit, asuransi, simpanan dan uang elektronik (e-money). Setiap bulan, ada sekitar lima hingga enam juta pengunjung ke platform.
Selain Cermati, perusahaan e-commerce Lazada mendeteksi 1,1 juta data pengguna supermarket online besutannya, RedMart diretas pada pekan lalu (29/10). "Kami menemukan insiden terkait keamanan data di Singapura, yang melibatkan basis data khusus RedMart," kata juru bicara kepada Katadata.co.id, Minggu (1/11).
Data pengguna yang dibobol berupa nama, nomor telepon, e-mail, alamat, password, dan sebagian nomor kartu kredit pengguna. Informasi ini kemudian dijual oleh peretas secara online.
Meski begitu, Lazada mencatat bahwa data pengguna yang bocor sudah kedaluwarsa lebih dari 18 bulan. Perusahaan memperbarui informasi itu Maret 2019. Ia juga memastikan data pelanggan di Asia Tenggara, termasuk Indonesia, tidak terpengaruh oleh kejadian tersebut.
Anak usaha Alibaba itu pun memblokir akses tidak sah ke basis data pengguna. Perusahaan juga bekerja sama dengan pihak berwajib untuk menindak peretas. Selain itu, memperkuat infrastruktur keamanan.
E-Commerce dan Fintech Jadi Incaran Peretas
Peneliti keamanan siber dari Communication Information System Security Research Center (CISSReC) Pratama Persadha mengatakan, e-commerce dan fintech menjadi sasaran peretasan karena banyaknya data pengguna yang dikelola. Untuk kasus Cermati, data yang diambil dari kegiatan 17 perusahaan.
Ia menilai, data tersebut sangat berbahaya apabila bocor. "Perlu penyelidikan mendalam lewat digital forensik. Di mana saja lubang keamanan yang mengakibatkan kebocoran data," kata Pratama dikutip dari siaran pers, Selasa (3/11).
Begitu juga dengan data pengguna Lazada yang dijual US$ 1.500 di darkweb. "Bahkan saat dicek di Raidforums Tanah Air, sudah ada yang menjualnya," kata Pratama.
Data yang mahal itu bisa dimanfaatkan oleh peretas untuk dijual ke bisnis periklanan. Selain itu, dapat menjadi bahan baku penipuan dan tindak kejahatan lainnya. "Pembobolan perbankan bisa dimulai dengan modal nama, alamat, e-mail dan nomor ponsel," ujarnya.
Apalagi jika data yang diretas merupakan kartu kredit pengguna. Dengan sedikit sentuhan rekayasa sosial (social engineering) dan petugas perbankan tidak teliti, pelaku kejahatan siber bisa mengambil sejumlah uang dari korban.
Oleh sebab itu, data kartu kredit harus diaktifkan dengan PIN dan kode verifikasi atau one time password (OTP) SMS. Selain itu, setiap transaksi wajib verifikasi.
Sebelum Lazada, data pengguna Bukalapak diretas pada tahun lalu. Peretas asal Pakistan mengklaim telah mencuri data ratusan juta akun dari 32 situs. Salah satunya Bukalapak dengan 31 juta akun.
Pada awal Mei lalu, data 91 juta pengguna Tokopedia juga dikabarkan diretas dan dijual melelalui situs gelap atau darkweb. Isu ini pertama kali diungkap oleh akun media sosial Twitter bernama @underthebreach.
Peretas mengaku sudah memiliki data 15 juta akun pengguna Tokopedia dalam bentuk mentah (hash), termasuk nama, e-mail hingga kata sandi.
Kemudian Bhinneka.com dikabarkan dibobol oleh peretas bernama ShinyHunters. Hacker mengklaim punya 1,2 juta data pengguna Bhinneka.
Dari sektor fintech, lebih dari 800 ribu data nasabah Kredit Plus bocor di forum internet pada Juli lalu. Informasi yang bocor berupa nama, KTP, alamat e-mail, status pekerjaan dan lainnya.
Berdasarkan riset Asosiasi Fintech Indonesia (Aftech), 22% platform fintech pembayaran dan 18% pembiayaan (lending) pernah mengalami serangan siber. Sebanyak 95% dari 154 fintech mengaku, kurang dari 100 penggunanya mengalami serangan siber pada tahun lalu.
Selain itu, riset Palo Alto Networks menyebutkan bahwa 66% dari 400 responden menilai platfom e-commerce berpotensi dibobol. Lalu 62% menyebut, sistem pembayaran digital berpeluang diretas.
Responden yang disurvei menjabat posisi manajemen perusahaan terkait teknologi informasi (IT) di Thailand, Indonesia, Filipina, dan Singapura. Survei dilakukan selama 6-15 Februari lalu.
"Ada peningkatan penggunaan layanan pembayaran digital dan e-commerce di Indonesia. Ketika disurvei, mereka memperkirakan dua sektor berpotensi mengalami serangan siber,” kata Country Manager Indonesia Palo Alto Networks Surung Sinamo saat konferensi pers, Juli lalu (15/7).
Systems Engineer Indonesia Palo Alto Networks Yudi Arijanto menambahkan, platform e-commerce menyimpan data-data pribadi pengguna, termasuk kartu kredit. Data-data ini yang diincar oleh peretas.
Selain e-commerce, peretas mengincar sistem pemerintah dan penyedia layanan kesehatan. "Biasanya, situs-situs yang menjadi referensi tentang Covid-19 itu menjadi sasaran serangan siber. Tetapi, yang paling banyak diincar tetap e-commerce dan pembayaran digital," ujar dia.