Setelah Bukalapak dan Tokopedia, Kini Data Pengguna Bhinneka.com Dijebol Hacker

Naviri Magazine - Kelompok peretas alias hacker ShinyHunters, yang juga disebut jadi biang kebocoran data pengguna Tokopedia, mengklaim telah meretas dan menjual puluhan juta data pengguna 10 perusahaan, termasuk e-commerce berbasis di Indonesia, Bhinneka.com.

Dikutip dari ZDNet, kelompok ini mengklaim memiliki 1,2 juta data pengguna Bhinneka.com. "Bhinneka, toko daring Indonesia (1,2 juta data pengguna)," tertulis dalam 10 daftar perusahaan yang datanya dibocorkan itu.

Secara keseluruhan, basis data yang dijual mencapai 73,2 juta pengguna, dan dijual seharga sekitar US$18 ribu di dark web. Setiap basis data dijual terpisah.

Rincian 10 situs yang dibobol kelompok ini antara lain:

1. Aplikasi kencan online Zoosk (30 juta data pengguna)
2. Perusahaan percetakan Chatbooks (15 juta pengguna)
3. Platform mode Korea Selatan, SocialShare (6 juta data pengguna)
4. Layanan pengiriman makanan, Home Chef (8 juta data pengguna)
5. Toko daring Minted (5 juta data pengguna)
6. Surat kabar online Chronicle of Higher Education (3 juta data pengguna)
7. Majalah furnitur Korea Selatan, GGuMim (2 juta data pengguna)
8. Majalah kesehatan Mindful (2 juta data pengguna)
9. Bhinneka, toko daring Indonesia (1,2 juta data pengguna)
10. Surat kabar AS, StarTribune (1 juta data pengguna)

Hal itu disebut tak lepas dari kesuksesan penjualan data milik Tokopedia, pekan lalu.

Awalnya, para peretas membocorkan 15 juta catatan pengguna secara gratis. Namun, mereka kemudian menjual 91 juta data pengguna seharga US$5.000 di dark web alias internet bawah tanah.

Grup peretas ini telah membagikan sampel dari beberapa database yang dicuri. ZDNet kemudian memverifikasinya dengan memasukkan catatan pengguna yang sah yang memiliki rincian. Hasilnya, keaslian beberapa database yang terdaftar tidak dapat diverifikasi.

Namun, sumber-sumber di komunitas intelijen ancaman seperti Cyble, Nightlion Security, Under the Breach, dan ZeroFOX, percaya bahwa ShinyHunters adalah ancaman yang sah.

Beberapa pihak percaya kelompok ShinyHunters memiliki hubungan dengan Gnosticplayers, kelompok peretas yang aktif tahun lalu, yang menjual lebih dari satu miliar kredensial pengguna di pasar web gelap. Alasannya, kedua kelompok ini beroperasi dengan pola yang nyaris identik.

ZDNet juga secara bertahap menghubungi korporasi yang menjadi korban peretasan itu. Hingga berita ini ditulis, hanya Chatbooks yang membalas surel dan menyatakan perusahaan itu secara resmi mengumumkan pelanggaran keamanan di situs webnya.

Ubah kata sandi

Dihubungi terpisah, Group Head Brand Communication & PR (BCPR) Bhinneka.com, Astrid Warsito, mengatakan pihaknya masih melakukan penyelidikan atas dugaan peretasan situsnya.

"Hingga saat ini, kami masih melakukan investigasi yang mengenai kebenaran berita tersebut, dan juga melakukan investigasi di sistem internal Bhinneka, sehubungan dengan dugaan tersebut," kata dia.

Terkait keamanan pembayaran pelanggan, Astrid menyebut pihaknya tak menyimpan data pembayaran itu di database-nya.

"Kami tidak menyimpan data kartu kredit ataupun debit. Semua data pembayaran langsung terkoneksi dengan payment gateway," tuturnya. "Selain itu, tidak ada uang elektronik atau digital goods lainnya yang datanya tersimpan di sistem kami."

Ia mengaku pihaknya selalu memprioritaskan keamanan dan kenyamanan pelanggan lewat penerapan standar keamanan global Payment Card Industry Data Security Standard (PCI DSS) dari TUV Rheinland.

"Kami informasikan juga bahwa password pelanggan di database selalu dienkripsi," aku dia. "Namun ada baiknya, kita bersama-sama menghindari segala niat yang kurang baik dan mencegahnya bersama."

Untuk itu, Astrid mengimbau pelanggan untuk segera melakukan penggantian kata sandi atau password, sebagai langkah pencegahan kebocoran data. Tahapannya antara lain:

1. Mengganti password secara berkala, dan ini saat yang tepat untuk mengganti yang baru.

2. Tidak menggunakan password yang sama untuk berbagai layanan.

3. Menggunakan email yang berbeda untuk aktivitas transaksi online.

4. Segera gunakan strong password: minimum 8 (delapan) karakter, kombinasi huruf besar dan kecil, kombinasi angka, jangan gunakan identitas atau informasi terkait dengan diri Anda, dan kombinasi simbol.