Ini Dia Sampel Data Pengguna Cermati.com yang Diretas dan Dijual Hacker
Ilustrasi: Cermati.com
Cyberthreat.id - Platform layanan jasa keuangan Cermati.com mengakui data sebagian penggunanya telah diakses secara tidak sah oleh pihak lain. Pengakuan itu mengonfirmasi temuan adanya penjualan data base milik 2,9 juta pengguna Cermati.com di forum peretasan online.
"Beberapa waktu lalu, kami mendeteksi adanya akses tidak sah ke dalam platform kami yang mengandung data dari sebagian pengguna Cermati.com,” tulis cermati.com dalam email yang diterima Cyberthreat.id, Sabtu (31 Oktober 2020).
Sayangnya, dalam email yang juga dikirim ke penggunanya itu, Cermati.com tidak menjelaskan lebih rinci data apa saja yang digasak hacker.
Di forum peretasan itu, data tersebut ditawarkan oleh pemilik akun "ExpertData” yang baru bergabung pada September 2020. Diunggah pada 28 Oktober 2020 dengan judul "Exclusive Private Databases”, penjual menampilkan sejumlah sampel data untuk meyakinkan calon pembeli.
Berdasarkan sampel data yang diunggah, basis data milik pengguna Cermati.com yang ditawarkan berupa alamat email, password yang terlindungi algoritma Bcrypt, nama, alamat, telepon, pendapatan, bank, nomor pajak, nomor identitas, jenis kelamin, pekerjaan, perusahaan tempat bekerja, dan nama gadis ibu kandung.
Sebagai contoh, ada data milik orang bernama Dwi (nama lengkapnya kami rahasiakan). Di sana tertera tanggal lahirnya, alamat email, nomor NIK, alamat tinggal, alamat kantor, pekerjaan, status perkawinan, nama gadis ibu kandung, nomor telepon jumlah tanggungan dan lainnya.
Tangkapan layar sampel data pengguna Cermati.com yang dibobol hacker. (Cyberthreat.id menyensor beberapa data sensitif untuk menghindari penyalahgunaan oleh pihak lain)
Data-data ini sangat rentan digunakan oleh pihak lain untuk berbagai kepentingan dan tujuan kejahatan.
Sebelumnya diberitakan, data 2,9 juta pengguna Cermati.com dijual di forum peretasan bersamaan dengan data pengguna milik 16 perusahaan lain: redmart.lazada.sg, cermati.com everything5pounds.com, geekie.com.br, clip.mx, katapult.com, eatigo.com, wongnai.com, toddycafe.com, game24h.vb, wedmegood.com, w3layouts.com, Apps-builder.com, Invideo.io, Coupontools.com, Athletico.com.br, dan Fantasycruncher.com.
Cermati.com mengklaim pihaknya tidak menyimpan kata sandi penggunanya dalam bentuk text, tetapi dengan enkripsi kuat menggunakan algoritma BCrypt.
Hal ini sesuai dengan klaim peretas, di mana mengklaim bahwa 2,9 juta data itu termasuk kata sandi BCrypt.
Lebih lanjut, Cermati.com mengklaim telah mengambil beberapa langkah yakni melakukan investigasi dan menghapus akses tidak sah untuk memastikan data pengguna tetap terjaga.
Selain itu, Cermati.com mengklaim investigasi juga dilakukan pihaknya bekerjasama dengan Badan Siber dan Sandi Negara (BSSN) serta berdiskusi untuk mengambil langkah yang tepat dalam memastikan keamanan data penggunanya.
Cermati.com mengklaim bekerja sama dengan ahli keamanan informasi independen eksternal untuk meningkatkan keamanannya.
Perusahaan menyarankan pengguna menggunakan auntentikasi dua faktor (Two-Factor-Authentication/TFA) sebagai pengaman tambahan saat log in, mengganti kata sandi secara teratur dan berkala, tidak menggunakan password yang sama di situs atau aplikasi yang berbeda, tidak membagikan kode rahasia atau One-Time-Password (OTP) atau CVV kartu debit atau kartu kredit kepada siapapun termasuk ke Cermati.com.
Dalam email kepada pengguna itu pun Cermati.com meminta maaf atas ketidaknyamanan yang terjadi.[]
Berita terkait:
