Setelah Bukalapak dan Tokopedia, kasus peretasan pada data-data pengguna e-commerce kembali terjadi. Kali ini, kebocoran data dialami oleh Bhinneka.com, yang kabarnya telah dibobol oleh peretas dengan nama pengguna ShinyHunters.
Peretas ini mengklaim telah mendapatkan 1,2 juta data pengguna Bhinneka, di mana ada 10 perusahaan bidang internet dengan total data mencapai 73,2 juta dan dijual seharga US$ 18.000 dolar Amerika Serikat (AS) atau sekitar Rp 268 juta.
Group Head Brand Communication & Public Relation Bhinneka Astrid Warsito mengatakan, perusahaan meminta maaf atas ketidaknyamanan yang timbul, dan kemungkinan kekhawatiran yang muncul sehubungan dengan pemberitaan peretasan data akun pengguna platformnya.
"Hingga saat ini, Bhinneka masih melakukan investigasi mengenai kebenaran berita tersebut dan juga melakukan investigasi di internal sistem. Kami juga bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) dalam proses investigasi ini," ujar Astrid kepada Katadata.co.id, Senin (11/5).
Pihak Bhinneka meyakinkan, bahwa perusahaan telah menerapkan standar keamanan global, yakni Payment Card Industry Data Security Standard (PCI DSS) dari TUV Rheinland, untuk melindungi pengguna Selain itu, password pengguna juga selalu dienkripsi.
Bhinneka juga tidak menyimpan data kartu kredit ataupun debit, sehingga semua data pembayaran langsung terkoneksi dengan payment gateway. Ia juga mengungkapkan, tidak ada uang elektronik atau digital goods lainnya yang datanya tersimpan di sistem Bhinneka.
(Baca: Kominfo Panggil Tokopedia Hari Ini, Bahas 91 Juta Data Pengguna Bocor)
Sebagai langkah pencegahan, Bhinneka mengimbau penggunanya melakukan beberapa langkah antara lain, mengganti password secara berkala, Kedua, tidak menggunakan password yang sama untuk berbagai layanan.
Ketiga, menggunakan e-mail yang berbeda untuk aktivitas transaksi online. Keempat, menggunakan password yang kuat dengan minimum delapan karakter, kombinasi huruf besar dan kecil, serta kombinasi angka. Plus, tidak menggunakan identitas atau informasi terkait dengan diri pengguna.
Dikutip dari ZDNet, Minggu (10/5), ShinyHunters diketahui telah membagikan sampel dari beberapa database yang diretas. Selain Bhinneka, berikut beberapa perusahaan yang dilaporkan telah diretas oleh oleh ShinyHunters.
- Zoosk: 30 juta pengguna
- Chatbooks: 15 juta pengguna
- SocialShare: 6 juta pengguna
- Home Chef: 8 juta pengguna
- Minted: 5 juta pengguna
- Chronicle of Higher Education: 3 juta pengguna
- GGuMim: 2 juta pengguna
- Mindful: 2 juta pengguna
- StarTribune 1 juta pengguna
Meski ZDNet menyatakan beberapa data yang terdaftar tidak dapat diverifikasi saat ini, beberapa sumber di komunitas pemantau serangan siber percaya ShinyHunters adalah salah satu peretas yang unggul. Beberapa komunitas yanag menyatakan hal ini antara lain, Cyble, Nightlion Security, Under the Breach, dan ZeroFOX.
Beberapa percaya kelompok ShinyHunters memiliki hubungan dengan Gnosticplayers, kelompok peretas yang aktif tahun lalu, dan telah menjual lebih dari 1 miliar kredensial pengguna di dark web. Jejaknya terdeteksi, karena beroperasi menggunakan pola yang hampir identik.
Sebelumnya, dilaporkan ada empat peretas yang menjual 13 juta catatan akun pengguna Bukalapak di dark web Raid Forums, sejak awal tahun ini. Namun, perusahaan menyatakan bahwa tidak ada data baru yang dibobol.
(Baca: Mengenal RaidForums, Forum Hacker Tempat Jual-Beli Data yang Bocor)
“Itu tidak benar, karena tautan yang beredar merupakan informasi dari kejadian tahun lalu,” kata Head of Corporate Communication Bukalapak Intan Wibisono, Rabu (6/5).
Chief Executive Officer (CEO) Bukalapak Rachmat Kaimuddin menambahkan, setelah terjadi upaya peretasan perusahaan segera memperketat perlindungan data konsumen.
Sekadar informasi, pada Maret 2019 lalu peretas dengan nama samaran Gnosticplayers mengklaim telah mencuri jutaan akun dari sejumlah situs populer dunia. Dua di antara situs tersebut berasal dari Indonesia, yakni Bukalapak dan YouthManual.
Kemudian, awal Mei 2020 data 91 juta pengguna Tokopedia juga dikabarkan diretas dan dijual melelalui dark web seharga US$ 5.000 atau sekitar Rp 73,4 juta.
Isu tersebut pertama kali diungkap oleh akun media sosial Twitter bernama @underthebreach, Sabtu (2/5) lalu. Peretas disebut memiliki data 15 juta akun pengguna Tokopedia dalam bentuk mentah. Data ini termasuk nama, email, hingga kata sandi.
Dalam tangkapan layar yang dibagikan @underthebreach, terlihat bahwa peretas tengah mencari pihak lain yang mampu memecahkan algoritma dari data mentah tersebut.
Merespons kabar tersebut, Tokopedia segera menyelidiki dan memastikan tidak ada kebocoran data pembayaran. Tokopedia pun menyatakan, seluruh metode pembayaran termasuk infromasi kartu debit, kredit, dan OVO di platform perusahaan terjaga keamanannnya.
(Baca: Ahli IT Ungkap Tiga Pola Peretasan Digital Selama Pandemi Covid-19)