Data 2,9 Juta Pengguna Dijual di Forum Peretasan, Cermati.com Akui Ada Akses Tidak Sah
Ilustrasi: Tangkapan layar Cermati.com/Cyberthreat.id
Cyberthreat.id - Basis data 2,9 juta pengguna platform layanan keuangan Cermati.com ditawarkan di sebuah forum peretasan. Data itu dijual sepaket dengan 16 perusahaan lainnya termasuk milik redmart.lazada.sg.
Seperti diberitakan Bleeping Computer, total ada 34 juta basis data pengguna yang dijual. Data-data itu berasal akses tidak sah ke server milik 17 perusahaan: redmart.lazada.sg, cermati.com everything5pounds.com, geekie.com.br, clip.mx, katapult.com, eatigo.com, wongnai.com, toddycafe.com, game24h.vb, wedmegood.com, w3layouts.com, Apps-builder.com, Invideo.io, Coupontools.com, Athletico.com.br, dan Fantasycruncher.com.
BleepingComputer mengatakan bahwa pemilik akun yang menjual data itu menyebut dirinya bukan pelaku peretasan, melainkan sebagai perantara untuk menjual data hasil peretasan.
Diunggah pada 28 Oktober 2020 dengan judul "Exclusive Private Databases”, penjual menampilkan sejumlah sampel data untuk meyakinkan calon pembeli.
Pantauan Cyberthreat.id, peretas itu menamai dirinya di forum peretasan sebagai “ExpertData” dan tercatat baru bergabung pada September 2020.
Berdasarkan sampel data yang diunggah, basis data milik pengguna Cermati.com yang ditawarkan berupa alamat email, password yang terlindungi algoritma Bcrypt, nama, alamat rumah, telepon, pendapatan, bank, nomor pajak, nomor identitas, jenis kelamin, pekerjaan, perusahaan tempat bekerja, dan nama gadis ibu kandung.
Cermati.com Akui Adanya Akses Tidak Sah
Pada Sabtu pagi (31 Oktober 2020), reporter Cyberhtreat.id mendapat email pemberitahuan dari Cermati.com berjudul "Pemberitahuan Pelanggan."
"Beberapa waktu lalu, kami mendeteksi adanya akses tidak sah ke dalam platform kami yang mengandung data dari sebagian pengguna Cermati.com,” tulis cermati.com dalam email yang diterima Cyberthreat.id.
Cermati.com mengklaim pihaknya tidak menyimpan kata sandi penggunanya dalam bentuk text, tetapi dengan enkripsi kuat menggunakan algoritma BCrypt.
Hal ini sesuai dengan klaim peretas, di mana mengklaim bahwa 2,9 juta data itu termasuk kata sandi BCrypt.
Lebih lanjut, Cermati.com mengklaim telah mengambil beberapa langkah yakni melakukan investigasi dan menghapus akses tidak sah untuk memastikan data pengguna tetap terjaga.
Selain itu, Cermati.com mengklaim investigasi juga dilakukan pihaknya bekerjasama dengan Badan Siber dan Sandi Negara (BSSN) serta berdiskusi untuk mengambil langkah yang tepat dalam memastikan keamanan data penggunanya.
Cermati.com mengklaim bekerja sama dengan ahli keamanan informasi independen eksternal untuk meningkatkan keamanannya.
Perusahaan menyarankan pengguna menggunakan auntentikasi dua faktor (Two-Factor-Authentication/TFA) sebagai pengaman tambahan saat log in, mengganti kata sandi secara teratur dan berkala, tidak menggunakan password yang sama di situs atau aplikasi yang berbeda, tidak membagikan kode rahasia atau One-Time-Password (OTP) atau CVV kartu debit atau kartu kredit kepada siapapun termasuk ke Cermati.com.
Dalam email kepada pengguna itu pun Cermati.com meminta maaf atas ketidaknyamanan yang terjadi.
"Cermati.com selalu berkomitmen untuk mengedepankan keamanan data pengguna dengan tetap menerapkan security measures yang sejalan dengan best practices yang berlaku di industri.” tulis Cermati.com.
Sayangnya, dalam pemberitahuan itu, Cermati.com tidak menjelaskan lebih detail data apa saja milik pengguna yang terdampak.[]
Editor: Yuswardi A. Suud
Berita terkait:
