Kaspersky: Data Medis, Foto, Akun PayPal Bocor Dijual hingga Rp 7 Juta

123RF.com/rawpixel
Ilustrasi keamanan internet
8/12/2020, 11.40 WIB

Perusahaan keamanan siber asal Rusia, Kaspersky mengungkapkan kisaran harga setiap jenis data pribadi yang dijual di forum peretas atau dark web. Yang paling mahal yakni akun PayPal yang dibanderol US$ 50-US$ 500 atau sekitar Rp 706 ribu-Rp 7 juta.

Sedangkan data akun layanan bank seperti internet banking, mobile banking, dan lainnya dijual 1-10% dari nilai. Lalu, informasi berupa catatan medis, swafoto atau selfie, dan identitas pribadi dibanderol US$ 40-US$ 60 atau Rp 565 ribu-Rp 849 ribu.

Kisaran harga tersebut berdasarkan analisis terhadap penawaran aktif di 10 forum dan pasar dark web internasional. Sedangkan angka rinci dapat dilihat pada Tabel di bawah ini:

Jenis DataKisaran Harga (US$)
Detail kartu kredit6-20
Pindaian SIM5-25
Pindaian Paspor6-15
Layanan berlangganan0,5-8
Identitas (nama, tanggal lahir, email, nomor ponsel, dll)0,5-10
Swafoto dengan dokumen (paspor, SIM, dll)40-60
Rekam medis1-30
Akun PayPal50-500
Akun layanan bank (mobile banking, dll)1-10% dari nilai

Sumber: Kaspersky

Peneliti keamanan di Kaspersky's GReAT Dmitry Galov mengatakan, beberapa informasi pribadi diminati hampir satu dekade terakhir, terutama data kartu kredit, akses perbankan dan layanan pembayaran elektronik. Harganya juga tidak berubah dalam beberapa tahun terakhir.

Selain itu, ia mencatat ada beberapa jenis data baru yang mulai dijual di dark web seperti catatan medis, swafoto, dan dokumen beserta identitas pribadi. “Dalam beberapa tahun terakhir banyak area kehidupan yang beralih ke  digital, seperti catatan medis,” kata Dmitry dikutip dari siaran pers, Senin (7/12).

Kemudian, swafoto semakin digemari oleh pengguna ponsel pintar (smartphone) di seluruh dunia. Di satu sisi, foto diri juga menjadi informasi pribadi yang dapat diperjualbelikan.

Data-data tersebut dapat dimanfaatkan oleh peretas untuk mengambil alih akun e-commerce hingga perbankan korban. Oknum juga dapat memeras atau langsung mencuri uang.

Informasi yang bocor tersebut juga dapat menyebabkan kerugian reputasi dan jenis kerusakan sosial lainnya, termasuk doxing. “Kini, insiden kebocoran data meningkat, sehingga risiko bagi pengguna bertambah," ujar Dmitry.

Pakar privasi di Kaspersky Vladislav Tushkanov mengatakan, pemilik data pribadi perlu melakukan tindakan pencegahan pencurian data. "Hapus data apa yang memungkinkan untuk dilakukan dan kendalikan informasi tentang Anda pada platform online," katanya.

Kaspersky juga mengimbau pemilik data mewaspadai modus peretasan melalui email dan situs web phishing. Selain itu, memeriksa perizinan pada aplikasi yang digunakan dan menggunakan otentikasi dua faktor pada berbagai platform digital. 

Di Indonesia, ada beberapa kasus kebocoran data pribadi. Yang terbaru, data 2,9 juta pengguna perusahaan teknologi finansial (fintech) agregator Cermati dibobol.

Informasi yang diretas berupa nama lengkap, email, alamat, nomor ponsel, rekening, pekerjaan, nomor induk kependudukan (NIK), nomor pokok wajib pajak (NPWP) hingga nama ibu kandung pengguna. Data ini dijual US$ 2.200.

Perusahaan e-commerce, Lazada juga mendeteksi 1,1 juta data pengguna supermarket online besutannya, RedMart diretas pada Oktober lalu (29/10). "Kami menemukan insiden terkait keamanan data di Singapura, yang melibatkan basis data khusus RedMart," kata juru bicara kepada Katadata.co.id, pada November (1/11).

Data pengguna yang dibobol berupa nama, nomor telepon, email, alamat, password, dan sebagian nomor kartu kredit pengguna. Informasi ini kemudian dijual oleh peretas secara online.  

Meski begitu, Lazada mencatat bahwa data pengguna yang bocor sudah kedaluwarsa lebih dari 18 bulan. Perusahaan memperbarui informasi itu Maret 2019. Juru bicara juga memastikan data pelanggan di Asia Tenggara, termasuk Indonesia, tidak terpengaruh oleh kejadian tersebut.

Sebelumnya, data 91 juta pengguna Tokopedia juga diretas dan dijual di dark web. Kabarnya, informasi ini dibanderol US$ 5ribu atau sekitar Rp 73,4 juta.

Peretas disebut memiliki data 15 juta akun pengguna Tokopedia dalam bentuk mentah (hash), termasuk nama, email hingga kata sandi. Dalam tangkapan layar yang dibagikan oleh @underthebreach, terlihat bahwa peretas tengah mencari pihak yang mampu memecahkan algoritme dari data mentah tersebut.

Pada tahun lalu, Bukalapak mengalami kejadian serupa. Seorang peretas asal Pakistan mengklaim telah mencuri data sekitar ratusan juta akun dari 32 situs. Sebanyak 31 juta akun merupakan pengguna Bukalapak. 

Laman The Hacker News menulis, peretas yang bersembunyi dibalik nama Gnosticplayers mengaku telah menjual data curiannya ke dark web Dream Markets 1,2431 Bicoin atau setara US$ 5 ribu.

Selain e-commerce dan fintech, data medis pernah dikabarkan bocor. Pada Juni lalu, 230 ribu data pasien terinfeksi Covid-19 di Indonesia disebut-sebut bobol dan dijual di dark web.

Akun bernama Database Shopping di RapidForums menawarkan sejumlah data pasien corona, mulai dari nama, status kewarganegaraan, tanggal lahir, umur, nomor telepon, alamat rumah, dan Nomor Induk Kependudukan. 

Selain itu, terdapat data hasil tes corona, gejala, tanggal mulai sakit dan pemeriksaan. Meski baru menawarkan penjualan pada Juni lalu (18/6), akun Database Shopping mengklaim data terhimpun sejak 20 Mei 2020.

Menteri Kominfo Johnny G Plate menegaskan bahwa data yang dikelola oleh pemerintah terkait penanganan virus corona, aman. "Saya konfirmasi dari sisi pusat data, komputasi awan (cloud computing), dan interpropabilitas yang ada di Kominfo aman," ujarnya Juli lalu (6/7).

Reporter: Fahmi Ahmad Burhan