Data Cermati dan Lazada Bocor, E-Commerce dan Fintech Incaran Peretas
Data pengguna perusahaan teknologi finansial (fintech) agregator Cermati dan e-commerce Lazada diretas. Berdasarkan riset Palo Alto Networks, kedua sektor ini memang diincar para peretas (hacker).
Bobolnya 2,9 juta data pengguna Cermati diungkapkan oleh pendiri komunitas Ethical Hacker Indonesia Teguh Aprianto melalui Twitter. Informasi yang diretas berupa nama lengkap, e-mail, alamat, nomor ponsel, rekening, pekerjaan, nomor induk kependudukan (NIK), nomor pokok wajib pajak (NPWP) hingga nama ibu kandung pengguna. Data ini dijual US$ 2.200.
Co-founder Cermati Andhy Koesnandar mengakui data pengguna bocor. Setelah mendeteksi adanya akses masuk tidak sah ke platform, perusahaan bersama dengan Badan Siber dan Sandi Negara (BSSN) serta ahli keamanan siber eksternal langsung menginvestigasi.
Kemudian menghapus akses tidak sah itu di platform untuk mengamankan data pengguna. "Kami menginformasikan mengenai peretasan kepada pengguna dan terus mengimbau mereka untuk menjalankan langkah pengamanan secara berkala," kata Andhy kepada Katadata.co.id, Senin (2/11).
Perusahaan juga mewajibkan semua pengguna menerapkan autentikasi dua faktor atau two-factor authentication ketika log in. "Ini untuk mencegah akses yang tidak seharusnya pada akun terkait," ujarnya.
Cermati juga memperkuat sistem keamanan, dengan mengembangkan arsitektur teknologi informatika (IT) dan Application Programming Interface (API) yang tahan terhadap serangan siber.
Fintech agregator tersebut menyediakan layanan keuangan seperti pinjaman, kartu kredit, asuransi, simpanan dan uang elektronik (e-money). Setiap bulan, ada sekitar lima hingga enam juta pengunjung ke platform.
Selain Cermati, perusahaan e-commerce Lazada mendeteksi 1,1 juta data pengguna supermarket online besutannya, RedMart diretas pada pekan lalu (29/10). "Kami menemukan insiden terkait keamanan data di Singapura, yang melibatkan basis data khusus RedMart," kata juru bicara kepada Katadata.co.id, Minggu (1/11).
Data pengguna yang dibobol berupa nama, nomor telepon, e-mail, alamat, password, dan sebagian nomor kartu kredit pengguna. Informasi ini kemudian dijual oleh peretas secara online.
Meski begitu, Lazada mencatat bahwa data pengguna yang bocor sudah kedaluwarsa lebih dari 18 bulan. Perusahaan memperbarui informasi itu Maret 2019. Ia juga memastikan data pelanggan di Asia Tenggara, termasuk Indonesia, tidak terpengaruh oleh kejadian tersebut.
Anak usaha Alibaba itu pun memblokir akses tidak sah ke basis data pengguna. Perusahaan juga bekerja sama dengan pihak berwajib untuk menindak peretas. Selain itu, memperkuat infrastruktur keamanan.
E-Commerce dan Fintech Jadi Incaran Peretas
Peneliti keamanan siber dari Communication Information System Security Research Center (CISSReC) Pratama Persadha mengatakan, e-commerce dan fintech menjadi sasaran peretasan karena banyaknya data pengguna yang dikelola. Untuk kasus Cermati, data yang diambil dari kegiatan 17 perusahaan.
Ia menilai, data tersebut sangat berbahaya apabila bocor. "Perlu penyelidikan mendalam lewat digital forensik. Di mana saja lubang keamanan yang mengakibatkan kebocoran data," kata Pratama dikutip dari siaran pers, Selasa (3/11).
Begitu juga dengan data pengguna Lazada yang dijual US$ 1.500 di darkweb. "Bahkan saat dicek di Raidforums Tanah Air, sudah ada yang menjualnya," kata Pratama.
Data yang mahal itu bisa dimanfaatkan oleh peretas untuk dijual ke bisnis periklanan. Selain itu, dapat menjadi bahan baku penipuan dan tindak kejahatan lainnya. "Pembobolan perbankan bisa dimulai dengan modal nama, alamat, e-mail dan nomor ponsel," ujarnya.
