Ahli Digital Forensik: Kasus Bocor Data KreditPlus Sangat Berbahaya
PerbesarADVERTISEMENT
Kasus kebocoran data nasabah platform keuangan dan pembiayaan kendaraan KreditPlus menyimpan potensi bahaya yang tinggi bagi korban yang terdampak. Terlepas dari jumlah data pengguna yang relatif sedikit, data yang bocor cukup lengkap bagi pihak tidak bertanggungjawab yang ingin memanfaatkannya untuk tindak kejahatan.
ADVERTISEMENT
Korban yang terdampak dari kebocoran data nasabah KreditPlus sendiri bisa dibilang cukup sedikit. Dalam kasus ini, ada 896 ribu pengguna yang datanya yang bocor. Jika dibandingkan dengan kasus kebocoran data pengguna Tokopedia yang mencapai 90 juta, kebocoran data KreditPlus tak sampai 1 persennya.
Namun, jumlah korban yang terdampak tidak berbanding lurus dengan potensi bahaya yang mungkin muncul. Pakar digital forensik menyebut, potensi bahaya kasus kebocoran data nasabah KreditPlus justru lebih tinggi ketimbang kebocoran data pengguna Tokopedia.
Menurut pakar digital forensik Ruby Alamsyah, data pengguna KreditPlus yang bocor memuat informasi pribadi yang lengkap mulai dari nomor induk kependudukan (NIK) hingga jenjang pendidikan pengguna. Hal tersebut lah yang membuat kasus kebocoran data KreditPlus punya tingkat bahaya yang lebih tinggi ketimbang kebocoran data Tokopedia.
ADVERTISEMENT
"Datanya lebih lengkap dari kasus-kasus sebelumnya," kata Ruby ketika dihubungi kumparan, Selasa (4/8).
"Yang berbeda dari kasus-kasus sebelumnya itu, minimal adalah NIK sama tingkat pendidikan," lanjut dia.
Berdasarkan situs pelacak kebocoran data HaveIBeenPwned, data pengguna KreditPlus yang bocor memang berisi informasi lengkap seputar pengguna. Data itu meliputi nomor KTP, nama lengkap, tanggal lahir, alamat email, nama kantor, nama anggota keluarga, jenis kelamin, gaji per bulan, status pernikahan, nama ibu, nomor handphone, nama pasangan dan agama.
Ruby sendiri saat ini masih memeriksa lebih lanjut keamanan enkripsi yang diterapkan KreditPlus terhadap data nasabah mereka. Namun, dalam pemeriksaan tahap awal yang dia lakukan, Ruby menemukan bahwa enkripsi hanya diberikan kepada password pengguna.
ADVERTISEMENT
Dalam keterangan posting ShinyHunters, pengguna yang memposting data nasabah KreditPlus di forum hacker Raid Forum pada 16 Juli 2020, ia menyebut bahwa data nasabah KreditPlus diamankan menggunakan enkripsi BCRYPT. Namun, ShinyHunters tidak menjelaskan data apa saja yang dienkripsi melalui BCRYPT tersebut.
Bahaya dari kebocoran data nasabah KreditPlus
Ruby menyebut, data nasabah KreditPlus yang bocor tak hanya bisa dipakai untuk profiling ataupun social engineering. Melalui data selengkap itu, data nasabah yang bocor juga bisa dipakai secara langsung untuk membuat akun dengan identitas korban, misalnya, nomor handphone baru.
"Enggak hanya untuk profiling ya, tapi bisa juga disalahgunakan untuk hal-hal lain. Misalnya, pendaftaran nomor handphone, menggunakan NIK-NIK yang tersebar seperti ini," kata Ruby. "Pencurian identitas pribadi ini bisa terjadi jauh lebih mudah dengan kebocoran KreditPlus."
Senada dengan Ruby, pakar keamanan siber dari Vaksincom Alfons Tanujaya juga menganggap bahwa pelaku kejahatan memang bakal memaksimalkan data nasabah yang bocor semaksimal mungkin.
ADVERTISEMENT
Oleh karena itu, Alfons menyarankan agar setiap nasabah KreditPlus perlu menganggap dirinya adalah korban yang terdampak. Dengan menganggap diri mereka adalah korban, kata Alfons, mereka harus mulai melakukan upaya pencegahan dengan memasang autentikasi dua faktor atau two factor authentication di setiap layanan digital yang mereka gunakan.
Tujuannya adalah untuk mencegah peretasan lanjutan dari hacker yang memiliki data pribadi mereka.
Namun, berbeda dengan Ruby, Alfons menilai bahwa kebocoran data pengguna KreditPlus tak begitu berbahaya ketimbang kebocoran data e-commerce.
Dalam hal ini, penilaian Alfons didasari pada potensi keuntungan finansial yang langsung didapatkan oleh pelaku kejahatan. Berbeda dengan Ruby yang melihat ancaman bahaya secara umum.
"Dari sisi kuantitas data yang bocor cukup banyak, tetapi dari sisi ancaman terhadap pemilik data relatif lebih rendah dibandingkan dengan kebocoran data e-commerce," kata Alfons kepada kumparan, Selasa (4/8).
ADVERTISEMENT
"Karena sifatnya hanya data pasif dan tidak bisa dipergunakan secara langsung untuk mendapatkan keuntungan finansial. Berbeda jika mendapatkan data akun e-commerce atau dompet digital," sambungnya.
Hingga saat ini, KreditPlus sendiri belum memberikan pernyataan resmi apapun terkait dugaan kebocoran data nasabah mereka.
