Kebocoran 800 ribu data nasabah KreditPlus dijualbelikan di situs Raidforums. Foto: CISSReC (Communication and Information System Security Research Center)

 
Kebocoran data kembali terjadi di Indonesia. Kali ini lebih dari 800 ribu data nasabah KreditPlus dijualbelikan di situs Raidforums.

Lembaga Riset Siber Indonesia CISSReC (Communication and Information System Security Research Center) menuturkan, bocornya data KreditPlus sebenarnya dibagikan pada 16 Juli 2020 lalu yang di-upload oleh anggota Raidforums bernama ShinyHunters.

Disampaikan CISSReC, member di Raidforums membagikannya melalui sistem pembayaran kredit, mata uang forum tersebut yang jika dirupiahkan sekitar Rp 50 ribu.

Setelah membayarnya, nanti akan mendapatkan sebuah link yang diarahkan untuk mengunduh file berisi ratusan ribu data pelanggan Kreditplus tersebut.

File unduhan sebesar 78 MB tersebut harus diekstrak dan menghasilkan sebuah file sebesar 430 MB.


Setelah file dibuka, barulah terlihat sebanyak 819.976 data nasabah yang terbilang rinci, mulai dari nama, KTP, email, status pekerjaan, alamat, data keluarga penjamin pinjaman, tanggal lahir, nomor telepon, dan lainnya.

Pakar keamanan siber Pratama Persadha menjelaskan, informasi yang bocor ini adalah data sensitif yang sangat lengkap.

Diungkapkan Pratama, ini sangat berbahaya untuk nasabah, karena dari kelengkapan data nasabah KreditPlus ini memancing kelompok kriminal untuk melakukan penipuan dan tindak kejahatan yang lainnya.

"Masalah utama di tanah air belum ada UU yang memaksa para penyedia jasa sistem elektronik ini untuk mengamankan dengan maksimal data masyarakat yang dihimpunnya.

Sehingga data yang seharusnya semua dienkripsi, masih bisa dilihat dengan mata telanjang," jelas chairman lembaga riset siber Indonesia CISSReC ini dalam keterangan tertulisnya.

Dalam hal ini, kata Pratama, negara punya tanggungjawab untuk melakukan percepatan pembahasan RUU Perlindungan Data Pribadi.

Dalam UU tersebut harus disebutkan bahwa setiap penyedia jasa sistem transaksi elektronik (PSTE) yang tidak mengamankan data masyarakat, bisa dituntut ganti rugi dan dibawa ke pengadilan.

"Hal serupa ada di regulasi perlindungan data pribadi bagi warga Uni Eropa, General Data Protection Regulation (GDPR). Setiap data yang dihimpun harus diamankan dengan enkripsi.

Bila terbukti lalai, maka penyedia jasa sistem elektronik bisa dikenai tuntutan sampai 20 juta euro," ungkapnya.

"Bisa dibayangkan bila Kreditplus ini ada di luar negeri, bisa dikenai pasal kelalaian dalam GDPR.

Sama juga dengan peristiwa kebocoran data yang sudah terjadi di tanah air sebelumnya," terang pria yang juga dosen pascasarjana Sekolah Tinggi Intelijen Negara (STIN) ini.

Maka dari itu, disampaikan Pratama, sangat penting pasal perlindungan tersebut masuk dalam RUU PDP di Tanah Air.

Pihak penyelenggara sistem transaksi elektronik harus mulai menjadikan data penggunanya sebagai prioritas keamanan.

Pilih teknologi enkripsi teraman dan semua data harus dienkripsi. Data offline juga harus mendapatkan model pengamanan yang tidak kalah ketat.

"Untuk mencegah pencurian data berulang, perlu diadakan penetration test dan juga bug bounty.

Setiap PSTE bisa memberikan reward yang layak pada setiap pihak yang menemukan celah keamanan pada sistem mereka.

Hal ini sering dilakukan Apple, Google, FB, Amazon dan raksasa teknologi lainnya," jelasnya.

Peristiwa pencurian data atau kebocoran data yang terus berulang ini, Pratama sebaiknya mendorong Kominfo dan BSSN untuk lebih sering turun ke lapangan melakukan edukasi dan memaksa PSTE untuk membangun sistem yang lebih baik, terutama dalam melindungi data nasabah atau pelanggan platform mereka.

Menurut Pratama, karena keamanan siber ini akan menjadi salah satu hal yang dijadikan patokan investor untuk berbisnis di Indonesia.

"Sebelum pemilik layanan bisa mengamankan data pribadi penggunanya, kita juga harus bisa mengamankan data pribadi kita sendiri. Misalnya yang buat password yang baik dan kuat, aktifkan two factor authentication.

Pasang anti virus di setiap gawai yang digunakan, jangan menggunakan wifi gratisan, jangan membuka link yang tidak dikenal dan mencurigakan, serta pengamanan standar lainnya," pungkas dia.

Learn more »

ShinyHunters kembali memasarkan 73 juta data pengguna hasil curian dari peretasan ke sejumlah perusahaan.

Sebenarnya, data seperti ini bisa buat apa saja sih?

Dari 73 juta data pengguna itu, 1,2 juta di antaranya diklaim berasal dari situs Bhinneka.

Berarti, ini kedua kalinya ShinyHunters menjebol situs asal Indonesia dalam waktu berdekatan, setelah sebelumnya menjebol Tokopedia dan menjajakan 91 juta data penggunanya di dark web.

Dilansir Zdnet, hacker sendiri sebenarnya tak perlu menjual hasil curiannya ini di marketplace dark web seperti Dream Market.

Terlebih lagi Dream Market adalah marketplace yang tersedia untuk 'publik'.

Dream Market memang berlokasi di dark web, namun ini adalah tempat yang sangat terekspos ke publik karena market place ini dipenuhi oleh pihak berwajib, jurnalis, dan para pegawai dari banyak perusahaan keamanan cyber.

Jadi, siapa pun yang menjual data semacam ini di tempat yang sangat terekspos seperti itu bisa dibilang adalah orang yang memang mencari masalah.

Apalagi data hasil curiannya itu sebenarnya sudah mempunyai pasarnya sendiri dan tak perlu diiklankan.

Data pengguna itu biasanya dibagi ke beberapa kategori.

Seperti alamat email curian biasanya dijual ke pemilik spam botnet. Data finansial dijual ke grup yang berfokus pada penipuan online.

Sementara username dan password yang sudah dijebol dijual ke operator botnet yang punya spesialisasi dalam credetential stuffing attack.

Ini adalah metode serangan di mana hacker menggunakan username dan password tersebut untuk untuk login di berbagai situs dan layanan yang berbeda.

Harapannya adalah korban menggunakan username dan password yang sama di situs tersebut.

ShinyHunters = Gnosticplayers?

Menurut pakar keamanan dari Vaksincom Alfons Tanujaya, nama ShinyHunters ini sebenarnya bukanlah nama yang terkenal.

Namun sepertinya adalah identitas baru yang dipakai oleh grup peretas yang sudah ada sejak lama.

"Dari skillnya sudah pasti pemain lama, mana mungkin pemain baru punya kemampuan setinggi itu.

Kemungkinan nama yang dipakai sebelumnya berbeda atau memang peretas menggunakan beberapa identitas supaya sulit dilacak untuk menghindari identifikasi oleh pihak berwajib," jelasnya.

Pemain lama yang dimaksud oleh Alfons adalah Gnosticplayers, yang merupakan sebuah grup hacker yang sering mengklaim telah meretas banyak bisnis online dan mencuri ratusan juta data penggunanya yang kemudian dijual di dark web.

GnosticPlayers adalah bagian dari sebuah komunitas underground kecil yang beranggotakan hacker dan pengumpul data.

Mereka meretas perusahaan, mencuri datanya, dan menjualnya ke partner.

Mereka pernah berbicara ke Zdnet, dan mengaku punya tujuan sendiri saat menjajakan hasil curiannya itu di Dream Market, selain tentunya untuk menghasilkan uang.

Ternyata tujuannya adalah demi mencari reputasi. Gnosticplayers ingin diingat seperti hacker Peace_of_Mind (Peace).

Selama 2016, grup hacker Peace tersebut meninggalkan 'jejaknya' di seluruh dunia dengan menjual lebih dari 800 juta data pengguna lewat marketplace TheRealDeal, dan berbagai marketplace lain.

Peace dikenal sebagai hacker yang menjual data pengguna LinkedIn (167 juta data), MySpace (360 juta data), Tumblr (68 juta data), VK (100 juta data), Twitter (71 juta data), dan masih banyak lagi.

Data-data yang dijual oleh Peace pada 2016 ini kemudian akhirnya dirilis ke domain publik dan kini tersedia secara luas.

Aksi Peace inilah yang kemudian membuat serangan credential stuffing menjadi benar-benar berbahaya saat ini.

Inilah yang tampaknya ingin diikuti oleh Gnosticsplayers, yang terlihat tak kalah berbahayanya. Pada 2019 saja mereka sudah menjajakan 932 juta data pengguna di Dream Market.

Meskipun Gnosticsplayers sejauh ini tak menjebol situs besar (secara global), tetap saja aksi mereka berbahaya karena banyak pengguna yang masih menggunakan username dan password sama untuk berbagai situs dan layanan, yang membuat mereka rawan terkena serangan credential stuffing. Learn more »

Belakangan ini nama ShinyHunters menjadi populer karena mengklaim bertanggung jawab terhadap peretasan terhadap setidaknya sepuluh perusahaan, termasuk Tokopedia dan Bhinneka.

Sebenarnya, siapa sih mereka?

ShinyHunters mengklaim meretas sepuluh perusahaan dan menjajakan database pengguna korbannya itu di dark web.

Secara total ada 73,2 juta data pengguna yang dijual dengan harga total USD 18 ribu.

Dari 10 perusahaan itu, salah satunya berasal dari Indonesia, yaitu Bhinneka, yang 1,2 juta data penggunanya dijajakan di dark web.

Grup hacker yang sama sebelumnya juga mengklaim menjebol Tokopedia, dan kemudian menjajakan 91 juta data pengguna Tokopedia seharga USD 5000, setelah sebelumnya membocorkan 15 juta data penggunanya secara cuma-cuma.

Tak cuma itu, ShinyHunters juga mencuri data berukuran lebih dari 500GB dari repositori GitHub privat milik Microsoft.

Data tersebut tersebar dari berbagai proyek privat, yang kemudian disebarkan secara gratis di dunia maya.

Dilansir Bleepingcomputer, dari data yang dibocorkan itu terlihat kalau pembobolan repositori tersebut terjadi pada 28 Maret 2020.

Microsoft sendiri mengaku mengetahui klaim ini dan tengah menginvestigasi hal tersebut, dan seorang pegawai Microsoft yang tak mau disebut namanya menyebut kalau pencurian data oleh ShinyHunters itu memang benar terjadi.

Siapa sebenarnya ShinyHunters?

Menurut Alfons Tanujaya, pakar keamanan internet dari Vaksincom, ShinyHunters ini sepertinya memang aktor yang jagoan dalam hal database server, dan mengetahui celah-celah yang bisa dieksploitasi.

"Biasanya celah yang umum dipakai adalah injection, tapi kalau level BL (Bukalapak) dan Toped (Tokopedia) harusnya sih sudah jago atasi SQL Injection.

Kemungkinan mereka pakai metode lain yg lebih canggih," ungkap Alfons ketika dihubungi.

Ditambahkannya, nama ShinyHunters ini sebenarnya bukanlah nama yang terkenal.

Namun sepertinya adalah identitas baru yang dipakai oleh grup peretas yang sudah ada sejak lama.

"Dari skillnya sudah pasti pemain lama, mana mungkin pemain baru punya kemampuan setinggi itu.

Kemungkinan nama yang dipakai sebelumnya berbeda atau memang peretas menggunakan beberapa identitas supaya sulit dilacak untuk menghindari identifikasi oleh pihak berwajib," jelasnya.

Pemain lama yang dimaksud oleh Alfons adalah Gnosticplayers, yang merupakan sebuah grup hacker yang sering mengklaim telah meretas banyak bisnis online dan mencuri ratusan juta data penggunanya yang kemudian dijual di dark web.

GnosticPlayers adalah bagian dari sebuah komunitas underground kecil yang beranggotakan hacker dan pengumpul data.

Mereka meretas perusahaan, mencuri datanya, dan menjualnya ke partner.

Contohnya pada Februari 2019, Gnosticplayers menargetkan menjual data lebih dari 1 miliar pengguna yang dicurinya. Dan pada April 2019, target ini sudah hampir terpenuhi.

Ia mengaku bertanggung jawab terhadap peretasan terhadap 44 perusahaan seperti 500px, UnderArmor, ShareThis, GfyCat dan MyHeritage.

Perilisan data pribadi pengguna ini dibagi menjadi empat bagian, yaitu bagian 1 (620 juta pengguna), bagian 2 (127 juta pengguna), bagian 3 (93 juta pengguna), dan bagian 4 (26,5 juta pengguna).

Terakhir adalah bagian 5 yang berisi data 65,5 juta pengguna, yang artinya secara total sudah mencapai 932 juta data pengguna, semakin mendekati target yang ditetapkannya pada Februari.

Alfons menyebut aksi peretasan seperti ini hampir pasti tak dilakukan oleh perorangan, alias dilakukan oleh sekelompok orang.

Pasalnya pekerjaan yang harus dilakukan terlalu besar dan kompleks untuk dilakukan perorangan.

"Jadi masing2 memiliki fokus keahlian yang berbeda. hampir tidak mungkin dilakukan oleh perorangan," ujarnya.

Alfons pun menuturkan biasanya pelaku kejahatan dunia maya seperti ini sulit ditangkap oleh pihak berwajib.

"Kebanyakan nggak ketangkap. Jagoan semua," ujarnya sambil tertawa. Learn more »