11 Kasus Kebocoran Data di Malaysia Dua Tahun Terakhir
illustrasi
Cyberthreat.id – Selama dua tahun terakhir, berbagai sektor seperti lembaga perbankan, lembaga penyiaran dan multimedia, dan lembaga pemilihan pemerintah di Malaysia, mengalami insiden pelanggaran data.
Tak hanya sekadar pelanggaran data saja, jutaan data pribadi dari masyarakat yang disimpan oleh berbagai lembaga tersebut ditawarkan secara online oleh peretas. Hal ini menunjukan kelemahan keamanan siber di Malaysia, bahkan disaat negara tersebut berusaha membangun jaringan 5G.
Dikutip dari Malaysia Mail, berikut beberapa kasus pelanggaran data yang terjadi selama dua tahun terakhir;
30 Desember 2022
Menteri Komunikasi dan Digital Fahmi Fadzil telah menempatkan dua lembaga di belakang dugaan kebocoran data terbaru yang melibatkan sekitar 13 juta pemegang rekening dari bank terbesar Malaysia Maybank, Komisi Eropa dan penyiar satelit Astro. Penjual meminta US$850 (RM3.752) untuk penjualan tersebut.
Pelanggaran terbaru ini juga dipublikasikan oleh pengguna Twitter @Xanda yang tweet aslinya sudah tidak tersedia lagi.
28 November 2022
Beberapa sumber melaporkan sebuah iklan telah diposting di forum komunitas peretas terkenal yang mengklaim menjual basis data 2022 dari 487 juta nomor ponsel pengguna WhatsApp, di mana 11 juta di antaranya adalah nomor Malaysia.
Namun, sang penjual, tidak menjelaskan bagaimana mereka mendapatkan database tersebut. Namun cukup sering, pembuangan data besar-besaran yang diposting secara online. Meta, perusahaan pemilik WhatsApp, menepis laporan tersebut dengan menyebutnya spekulatif dan berdasarkan tangkapan layar yang tidak berdasar.
10 November 2022
Badan pengatur pemilu Malaysia mengaku telah menjadi korban peretasan dan sejumlah data dari basis datanya telah dicuri.
Penjualan data ini bertama kali dilaporkan oleh pengguna Twitter @acaiijawe. Data tersebut dijual seharga US$2.000 (RM8.824) yang harus dibayar dalam Bitcoin atau Monero (mata uang kripto terdesentralisasi disingkat XMR).
Sementara itu, penjual data di forum peretasan mengklaim telah mendaftarkan nomor MyKad pemilih, nama lengkap, alamat email, kata sandi, dan alamat rumah. Bahkan ada gambar dan nomor kartu identitas warga.
5 November 2022
Maskapai penerbangan AirAsia terkena ransomware Daixin, mengalami kebocoran data yang berdampak pada lima juta penumpang. Menyusul penyelidikan, Kementerian Komunikasi mengatakan perusahaan telah mendeteksi akses tidak sah di servernya pada 12 November.
Daixin mengakui serangan itu dalam sebuah wawancara dengan databreaches.net, menyatakan bahwa itu tidak senang dengan organisasi AirAsia yang kacau dan menuduhnya tidak memiliki standar apa pun dalam pengamanan data.
25 Oktober 2022
Sekitar 2,6 juta pengguna Carousell dari Malaysia dan Singapura menjadi korban pelanggaran data pada platform penjualan barang bekas online yang populer. Semua data yang dicuri dijual secara online seharga US$1.000 (RM4.412).
Tanggal pembuatan akun pengguna Carousell, nama pengguna, nama lengkap, alamat email, nomor telepon, dan lainnya diposting secara online oleh peretas. Investigasi mengungkapkan bug dalam migrasi sistem yang digunakan oleh pihak ketiga untuk mendapatkan akses tidak sah ke database perusahaan.
September 2022
Pelanggaran data pada sistem pembayaran gaji untuk pekerja pemerintah, ePenyata Gaji. Peretas mencuri basis data berisi nomor MyKad pegawai pemerintah, pangkat, departemen, nomor slip gaji, alamat email dan nomor ponsel.
Kelompok peretas yang diduga berasal dari Grey Hat ini mengklaim telah mengekstraksi hampir dua juta slip gaji dan formulir pajak dalam format PDF dengan total ukuran file 188,75GB.
September 2022
Maskapai penerbangan Batik Air, menjadi korban peretasan yang berdampak pada 45 juta data pelanggan mereka. peretas mengklaim telah mendapatkan akses ke database perusahaan tersebut sejak 2019 lalu. Diduga data tersebut diperoleh dari layanan cloud storage dan dibocorkan oleh individu atau organisasi bernama Spectre.
Batik Air mengakui masalah ini dalam pernyataan pers dan mengungkapkan bahwa dua mantan karyawan mitra eCommerce GoQuo (M) Sdn Bhd di pusat pengembangan mereka di India terlibat. Namun, mereka meyakini insiden itu tidak terkait dengan keamanan arsitektur datanya dan tidak ada detail pembayaran pelanggan yang dikompromikan.
Agustus 2022
Gateway pembayaran iPay88 mengalami pelanggaran data setelah mengalami insiden keamanan siber. Perusahaan mengatakan telah memulai penyelidikan dan membawa pakar yang relevan untuk mengatasi masalah tersebut setelah penemuan pada 21 Mei.
Mei 2022
Departemen Registrasi Nasional atau NRD mengalami pelanggaran data, dan dijual seharga US$10.000 di forum peretasan,
Penjual yang memposting penjualan online mengklaim memiliki data semua yang lahir di Malaysia dari tahun 1940 hingga 2004. Menurut lowyat.net, database tersebut konon berukuran besar 160GB dan berisi nama lengkap, nomor kartu identitas, alamat, tanggal lahir, jenis kelamin, ras, agama, nomor ponsel, dan foto berbasis Base54.
April 2021
Salah satu pendiri perusahaan keamanan siber Israel, Hudson Rock, Alon Gal menyoroti database yang bocor yang berisi data dari 533.000.000 pengguna Facebook pada tahun 2021. Lebih dari 100 negara terpengaruh, dengan lebih dari 11 juta data warga Malaysia bocor.
Data yang bocor termasuk nama, nomor ponsel, email, jenis kelamin, pekerjaan, kota, negara, status perkawinan, dan banyak lagi.
adanya kasus kebocoran data ini membuat pemerintah mengusulkan anggaran sebesar RM 73 Juta, untuk CyberSecurity Malaysia serta pembentukan National Scam Response Center sebagaimana diumumkan dalam Anggaran 2023.
Mereka juga mengumumkan penghapusan One-Time Password (OTP) yang dikirim melalui teks oleh bank untuk transaksi berisiko tinggi, sebuah platform akan dibuat bagi publik untuk melaporkan segala jenis kasus penipuan online.
Maret 2021
Maskapai nasional Malaysia Airlines memberi tahu pelanggan tentang “insiden keamanan data yang terjadi pada salah satu penyedia layanan TI pihak ketiga. Menurut pihak maskapai, insiden tersebut terjadi antara periode sembilan tahun dari Maret 2010 hingga Juni 2019.
Namun, perusahaan tidak mengungkapkan jumlah anggota yang terkena dampak. Data seperti tingkat tingkatan, status, dan detail pribadi telah dicuri. Tetapi maskapai menyatakan bahwa tidak ada bukti yang menunjukkan bahwa informasi yang dicuri digunakan di tempat lain.
Februari 2021
Detail pribadi lebih dari 300.000 pelanggan E-Pay tampaknya telah terungkap secara online melalui pelanggaran data. Pelaku ancaman terlihat menjual database 380.000 pelanggan di forum berbagi data seharga US$300 (sekitar RM1.322).
Dari catatan sampel yang diposting di Forum RAID, basis data berisi nama pelanggan, alamat email, kata sandi yang di-hash, tanggal lahir, alamat lengkap termasuk kota dan kode pos, serta nomor ponsel. Jika dibeli, detail ini jika sah dapat disalahgunakan untuk aktivitas penipuan dan 380.000 catatan.
