Ketika ekonomi internet menjamur tanpa ‘brankas’ aman yang dikembangkan secara bertahap, hal-hal buruk kerap terjadi, dan pengguna yang kemudian menanggung bebannya. Peretas menemukan target yang rentan keamanan di Indonesia, mencuri kumpulan data pribadi yang semakin besar. Informasi ini kemudian bocor di dark web atau web gelap, forum peretas, dan bahkan platform media sosial. Beberapa disiapkan untuk diunduh dan dimanfaatkan siapa saja, sementara yang lainnya untuk dijual. Informasi konsumen memiliki label harga, dan ada banyak sekali pembeli—perusahaan pemasaran, kampanye pemilu, dan banyak pemberi pinjaman tekfin tanpa izin di negara itu yang menjalankan penipuan dengan memaksakan pinjaman kepada orang-orang tanpa disadari.
Pada bulan Mei, server badan kesehatan dan jaminan sosial Indonesia, BPJS Kesehatan, dibobol. Seorang peretas berhasil menyalin data 279 juta orang Indonesia—mungkin sebagian besar penduduk negara itu ditambah beberapa orang yang sudah meninggal. Pelanggaran data seperti yang dilakukan BPJS dapat menyebabkan segudang konsekuensi yang tidak diinginkan bagi konsumen, mulai dari pencurian identitas hingga aktivitas penipuan kartu kredit. Doddy Darumadi, seorang pengacara di firma hukum Nenggala Aluguro di Jakarta, mengatakan kepada KrASIA bahwa ia telah mewakili banyak klien yang dirugikan dalam kasus terkait pinjaman peer-to-peer ilegal sejak tahun 2017.
Setiap tahun, jumlah kasus meningkat karena platform ilegal yang menawarkan pinjaman instan terus bermunculan. Banyak korban terjerat hutang yang tidak bisa mereka lunasi. Para kreditur umumnya adalah pemberi pinjaman P2P yang memperoleh informasi pengguna secara tidak sah dan kemudian memaksakan pinjaman berbunga tinggi kepada mereka. “Beberapa korban datang kepada saya dan mengatakan mereka menerima uang yang dikirim dari platform fintech bersama dengan tagihan. Platform ini membebankan bunga tinggi dalam jangka waktu pendek. Masalahnya mereka tidak pernah mengajukan atau setuju untuk meminjam uang dari platform ini,” ujar Darumadi kepada KrASIA. Pengacara ini menambahkan bahwa perusahaannya menangani setidaknya 20 kasus baru terkait dengan pemberi pinjaman ilegal setiap minggu.
Platform Fintech yang beroperasi tanpa lisensi yang tepat membangun basis penggunanya dengan mengambil data dari peretas dan pialang data, yang menjual informasi pribadi dengan harga yang cukup rendah. Rincian kartu kredit seseorang dikenakan biaya USD 6–20. ID dengan nama lengkap, tanggal lahir, email, dan nomor ponsel dikenakan biaya USD 0,5–10. Selfie dengan dokumen pendukung untuk verifikasi visual memiliki label harga yang lebih tinggi yaitu USD 40–60, menurut data yang dikumpulkan oleh Kaspersky.
Keamanan siber yang buruk sebagian besar harus disalahkan atas aliran bebas data pribadi di kalangan ini. Sebagian besar pelanggaran di Indonesia baru terungkap setelah peretas menjual hasil panen mereka di situs komunitas peretas Raid Forums, yang ada di web terbuka. Belum lama ini, Kementerian TI Indonesia memblokir situs tersebut, tetapi masih mudah diakses dengan alat yang tepat. Meski begitu, ada banyak informasi pribadi yang dijual di area yang kurang terlihat di internet. Seorang aktivis keamanan siber dengan nama panggilan “Dendi Zuckergates,” yang ikut mendirikan komunitas online untuk penggemar IT bernama Orang Siber Indonesia, mengatakan sebenarnya ada lebih banyak pelanggaran data yang melibatkan orang Indonesia daripada yang diberitakan di media.
“Setelah kasus BPJS, server beberapa kantor catatan sipil seperti Bogor dan Bekasi [kota-kota di Indonesia] diretas, dan orang-orang menjual dataset yang berisi jutaan informasi pribadi dari server-server itu di Forum Raid. Biasanya, hanya setengahnya yang asli, sedangkan sisanya palsu. Peretas melakukan ini untuk mendongkrak harga,” kata Zuckergates kepada KrASIA. “Pembelian data biasanya menggunakan cryptocurrency seperti bitcoin, sehingga aman dan tidak dapat dilacak.”
Membangun bisnis dan memenangkan pemilu dengan data pribadi
Seperti banyak perdagangan gelap, praktisi tunggal dapat bekerja sama untuk mengumpulkan sumber daya dan membentuk operasi yang lebih besar. “Selain peretas atau penjual perorangan, juga banyak sindikat yang menjual data pribadi. Mereka terdiri dari beberapa anggota dengan pekerjaan yang berbeda. Ada yang bertugas meretas sistem, ada yang bertugas di bagian penjualan, ada yang bertugas membeli data dari beberapa situs untuk dijual kembali, dan sebagainya,” sebut Zuckergates.
Mereka yang membeli data curian dapat menggunakannya untuk berbagai tujuan. Terkadang, informasi pribadi dibeli oleh perusahaan pemasaran yang memiliki spesialisasi dalam kampanye spam; yang lain membelinya untuk meningkatkan tingkat keberhasilan saat mereka mengidentifikasi tanda penipuan. Terkadang, ada juga dimensi politik. Data yang bocor sering dibeli oleh lembaga-lembaga menjelang pemilu untuk menjangkau masyarakat melalui SMS atas nama kandidat, kata Zuckergates.
Kementerian TI telah menetapkan seperangkat aturan mengenai penggunaan pesan teks oleh kampanye politik. Agensi tidak dapat meminta informasi atau identitas pengguna dari penyedia telekomunikasi atau pihak lain untuk kampanye yang ditargetkan. Selain itu, lembaga dilarang mengirim siaran SMS atau spam selama “minggu tenang” sebelum hari pemungutan suara, meskipun pengawas pemilu Indonesia telah menemukan pelanggaran.
Meskipun demikian, platform fintech ilegal tampaknya menjadi salah satu wadah terbesar pialang data pasar gelap.
“Platform [fintech] ilegal menjangkau calon korban dengan mengirimi mereka pesan melalui SMS atau WhatsApp,” kata Darumadi. Penipuan yang mungkin gagal di belahan dunia lain masih menjadi korban polos di beberapa pasar negara berkembang seperti Indonesia karena tingkat literasi digital dan keuangan yang umumnya lebih rendah. Beberapa orang mengklik tautan dalam pesan yang mereka terima, yang mengarah ke penginstalan aplikasi dan menanyakan informasi pribadi mereka. Dengan cara ini, platform mendapatkan akses ke informasi korban, seperti informasi kontak dan gaji mereka. “Para penagih utang akan mengintimidasi korban dengan terus-menerus menelepon nomor-nomor yang ada di daftar kontak korban, meminta mereka membayar utang dengan kasar, atau bahkan mengancam akan menyebarkan data pribadi korban di internet,” tambah pengacara.
Otoritas keuangan Indonesia OJK terus mengimbau masyarakat untuk berhati-hati dalam memilih platform fintech, mengingat banyaknya aplikasi yang beroperasi tanpa izin di tanah air. Hingga April 2021, OJK telah memblokir 3.198 pemberi pinjaman P2P ilegal, tetapi yang baru terus muncul untuk menggantikannya.
Meskipun Darumadi tidak yakin bagaimana pemberi pinjaman P2P ilegal memperoleh informasi kontak korbannya, tidak perlu banyak menggali terlalu dalam untuk menemukan data pribadi yang dijual di Indonesia. Seorang pengguna Twitter yang menggunakan “pinjollaknat” mengumpulkan beberapa informasi dan tweet tentang pemberi pinjaman ilegal di negara ini. Ada lusinan broker yang mengatakan bahwa mereka memiliki kluster data ID e-nasional Indonesia untuk diperdagangkan, sehingga sangat mudah dan murah bagi operator fintech ilegal untuk membangun basis pengguna yang tidak sah. Langkah selanjutnya adalah memaksakan pinjaman kepada individu yang tidak tahu, menuntut pembayaran bunga tinggi, dan mungkin menghancurkan fondasi keuangan dan nilai kredit mereka dalam prosesnya.
Apakah penjarahan ini dapat dihentikan?
Raket pembayaran pinjaman paksa oleh platform fintech muncul lima tahun lalu dan telah meningkat sejak saat itu. Sudah banyak yang mengadukan hal ini ke Media Konsumen yang menerbitkan laporan dari konsumen yang dirugikan. Inilah faktanya: ketika aset digital tersebar di banyak platform, konsumen berada dalam posisi yang rentan. Ada 47 kasus pencurian data pada tahun 2017, menurut catatan kepolisian Indonesia. Jumlah itu meningkat menjadi 88 kasus pada 2018 dan kemudian menjadi 143 pada 2019. Tahun lalu, setidaknya ada tujuh kasus pelanggaran data yang melibatkan institusi besar. Serangan-serangan ini meningkat, namun hanya sedikit upaya yang dilakukan untuk membalikkan keadaan.
DPR RI saat ini sedang mengkaji rancangan undang-undang tentang perlindungan data pribadi. Meski begitu, undang-undang pokok yang mengatur perlindungan data termasuk dalam undang-undang informasi dan transaksi elektronik (UU ITE), yang mencakup hukuman bagi pihak yang mencuri atau menyebarkan data pribadi orang lain tanpa persetujuan mereka, seperti fintech lender ilegal.
Peretas yang mengakses sistem komputer tanpa izin dapat dihukum delapan tahun penjara dan denda Rp800 juta (USD 56.000). Sementara itu, mereka yang dengan sengaja mendistribusikan dokumen digital tanpa izin pemiliknya untuk tujuan pemerasan dan intimidasi dapat dipenjara hingga enam tahun dan denda Rp1 miliar (USD 70.000).
Polisi siber Indonesia secara berkala mengingatkan masyarakat untuk berhati-hati dalam memberikan data pribadi kepada pihak lain untuk menghindari penyalahgunaan, seperti menghasilkan pinjaman yang tidak diminta atau bahkan pengambilalihan rekening pribadi yang menyimpan saldo tunai. Namun, karena kebocoran data menjadi hal yang biasa dan investigasi resmi tidak menghadirkan solusi, warga dibiarkan dengan cara mereka sendiri untuk mencegah atau menanggapi tindakan kriminal. Hal paling efektif yang dapat dilakukan orang adalah memantau akun mereka dan bereaksi dengan cepat jika mereka menemukan transfer tunai yang tidak biasa.
“Jika Anda melihat aktivitas mencurigakan seperti transaksi misterius, atau jika Anda diteror oleh pemberi pinjaman ilegal, Anda dapat melaporkannya ke polisi cyber untuk tindakan segera. Konsumen harus ekstra hati-hati dalam mengirimkan data pribadi seperti e-KTP dan selfie di platform digital,” kata Darumadi.
Sementara kebocoran informasi 279 juta orang baru-baru ini? Polisi siber Indonesia dan Badan Siber dan Enkripsi Nasional sedang menyelidiki insiden tersebut, tetapi jika melihat referensi dari kasus-kasus sebelumnya, tidak akan ada kesimpulan yang dirilis dalam waktu dekat.
–
Artikel ini pertama kali dirilis oleh KrASIA. Kembali dirilis dalam bahasa Indonesia sebagai bagian dari kerja sama dengan DailySocial