Ratusan Ribu Data Pengguna Shopee, Lazada, Ditjen Pajak Diduga Bocor
Peneliti keamanan darkweb yang dikenal sebagai DarkTracer mengatakan bahwa ratusan ribu data kredensial yang diakses lewat situs web atau domain Indonesia, bocor. Ini termasuk Shopee, Lazada, Direktorat Jenderal atau Ditjen Pajak, Kementerian Agama (Kemenag) hingga Kementerian Keuangan (Kemenkeu).
DarkTracer menyebutkan, 40.629 pengguna internet di Indonesia terinfeksi Stealer, seperti Redline, Raccoon, dan Vidar. “Sebanyak 502.581 kredensial yang diakses ke domain .id bocor, serta didistribusikan ke darkweb dan deep web,” kata peneliti melalui akun Twitter, awal Januari (5/1).
RedLine menargetkan data password di situs web populer seperti Chrome, Edge, dan Opera. Sedangkan malware Raccoon menggunakan model malware-as-a-service (MaaS). Pemilik malware menyediakan akses berbayar ke botnet yang mengandung malware.
Lalu vidar stealer merupakan salah satu jenis trojan varian Arkei Infostealer. Badan Siber dan Sandi Negara (BSSN) menyebutkan, malware ini memicu 13.280 kebocoran data pada 2020.
DarkTracer pun menyebutkan domain .id yang datanya diduga bocor, sebagai berikut:
- Kemendikbud.go.id
- Bkn.go.id
- Pajak.go.id
- Shopee.co.id
- Prakerja.go.id
- Wifi.id
- Kemenag.go.id
- Pointblank.id
- Kemenkeu.go.id
- Jobstreet.co.id
- Lazada.co.id
- Ltmpt.ac.id
- Jakarta.go.id
- Telkom.co.id
- Simpkb.id
- Bps.go.id
- Bri.co.id
- Oss.go.id
- Kemendagri.go.id
- Bpjsketenagakerjaan.go.id
Katadata.co.id mengonfirmasi dugaan kebocoran data tersebut kepada Shopee, Telkom, serta Kementerian Pendidikan, Kebudayaan, Riset dan Teknologi (Kemendikbud Ristek). Namun belum ada tanggapan.
Sedangkan Lazada tengah melakukan pemantauan dan investigasi internal. "Kami akan terus bekerja sama dengan semua pihak terkait demi terciptanya e-commerce yang aman untuk masyarakat Indonesia," kata juru bicara Lazada kepada Katadata.co.id, Jumat (21/1).
Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat Ditjen Pajak Neilmadrin Noor mengatakan, kebocoran yang dimaksud yakni data kredensial pengguna atau wajib pajak.
"Kemungkinan terdapat malware dari sisi pengguna yang mengakses situs. Sedangkan sistem Ditjen Pajak sudah dimitigasi dengan memasang perangkat keamanan," ujar Neil kepada Katadata.co.id, Jumat (21/1).
Peneliti keamanan siber dari Communication Information System Security Research Center (CISSReC) Pratama Persada menyampaikan, para pemilik domain wajib mengecek situs dan domain masing-masing, baik dashboard situs maupun website. Selain itu, meninjau hosting maupun Content Management System (CMS).
“Tidak lupa untuk mengganti password,” kata Pratama kepada Katadata.co.id, Kamis malam (20/1).
Berkaca dari data bocor Bank Indonesia dan ratusan ribu di domain .id, menurutnya keamanan siber di Tanah Air mengkhawatirkan. “Sudah red alert,” ujar dia.
Dia menilai, Indonesia sudah sangat membutuhkan Undang-undang Pelindungan Data Pribadi (UU PDP). “Ini memaksa lembaga negara maupun swasta untuk menerapkan keamanan siber tingkat tinggi pada sistemnya, sehingga mengurangi kemungkinan kebocoran data,” katanya.