Sempat Gegerkan Dunia, Inilah Megaskandal Kebocoran Data Terbesar di Dunia yang Nilainya Capai Rp74 Triliun!

Pembobolan data kembali terjadi terhadap dua lembaga besar di Indonesia yaitu PLN dan Indihome. Pada Jumat (19/8/2022), badan usaha milik negara (BUMN) yang mengelola kelistrikan itu mengalam kebocoran data 17 juta pelanggannya.

Sementara dua hari kemudian, data 26 juta pelanggan Indihome diduga bocor ke publik. Ini meresahkan karena mengandung data pribadi dan data riwayat jelajah pelanggan.

Baca Juga: Kominfo Bantah Telah Beri Sanksi ke PLN dan Telkom Terkait Dugaan Kebocoran Data Pelanggan

Aksi pembobolan data kerap terjadi di seluruh dunia. Penjahat siber tidak pernah berhenti mencari cara untuk mengakses keseluruhan data yang memuat informasi sensitif dan dianggap menguntungkan karena dapat dijual di laman gelap atau dengan tujuan lainnya di masa mendatang.

Dilansir Akurat.co, banyak perusahaan raksasa mengalami pembobolan data, bahkan di negara maju sekalipun. Siapa saja perusahaan yang telah mengalaminya, berikut data selengkapnya.

1. Yahoo!

Pada bulan September 2016, perusahaan Amerika Serikat (AS) ini mengumumkan 500 juta akun pengguna telah dibobol dalam serangan siber tahun 2014. Tiga bulan kemudian, ditemukan pencurian data lainnya yang dilakukan pada Agustus 2013. Saat itu, Yahoo! memperkirakan ada 1 miliar akun pengguna telah terdampak. Begitu FBI terlibat, disimpulkan bahwa seluruh 3 miliar akun Yahoo! telah disusupi.

Data yang bocor meliputi nama pengguna, nomor telepon, pertanyaan keamanan, serta surel pemulihan kata sandi dan nilai kriptografi unik. Dalangnya adalah 2 peretas bernama Alexey Belan dari Latvia dan Karim Baratov dari Kanada.

Mereka disewa oleh Layanan Keamanan Federal Rusia (FSB) untuk menargetkan jurnalis Rusia, karyawan perusahaan keamanan siber Rusia, dan pejabat Rusia. Target lainnya adalah perusahaan transportasi Prancis 'CTO', direktur pelaksana perusahaan ekuitas swasta AS yang berbasis di Shanghai, pejabat perjudian Nevada, dan 14 karyawan perusahaan perbankan Bitcoin Swiss.

Begitu diumumkan terjadinya kebocoran data, gugatan class action dilayangkan kepada Yahoo!. Perusahaan itu lantas menyetujui dana penyelesaian senilai USD 117,5 juta (Rp1,7 triliun) untuk kompensasi kerugian.

Individu yang terdampak dapat memilih setidaknya 2 tahun layanan pemantauan pencurian identitas atau penggantian uang tunai mulai dari USD 100 (Rp1,4 juta) hingga maksimal USD 358,80 (Rp5,3 juta).

Sementara itu, Baratov dihukum 5 tahun penjara dan denda USD 2,25 juta (Rp33 miliar). Belan masih buron, begitu pula kolaborator FSB mereka.

2. Alibaba

Laman niaga elektronik di bawah raksasa China Alibaba, Taobao, pernah mengalami kebocoran data yang mengungkap lebih dari 1,1 miliar informasi pelanggan. Dari November 2019 hingga Juli 2020, seorang pengembang yang bekerja untuk seorang pemasar afiliasi mengeruk data pelanggan secara ilegal menggunakan perangkat lunak pembobol laman.

Nama pengguna dan nomor ponsel termasuk dalam data yang dicurinya. Namun, mereka diyakini mengeruk informasi tersebut untuk kepentingan pribadinya dan tak menjualnya di pasar gelap. Keduanya lantas dijatuhi hukuman penjara lebih dari 3 tahun dan denda sebesar 450 ribu yuan (Rp975 juta).

3. Aadhaar

Aadhaar merupakan basis data identitas terbesar di dunia yang didirikan oleh Otoritas Identifikasi Unik India (UIDAI) pada 2009. Basis data ini berisi informasi lebih dari 1,1 miliar warga India, termasuk 12 digit nomor identitas unik, pemindaian sidik jari, pemindaian 2 iris mata, nama, jenis kelamin, dan informasi kontak. Kebanyakan warga India punya kartu Aadhar, meski tak wajib. Kartu ini diperlukan saat mengajukan permohonan bantuan negara, membeli kartu SIM ponsel, membuka rekening bank, dan birokrasi lainnya. Kabar peretasan basis data Aadhar terungkap pada Januari 2018.

Pelaku menyusup ke basis data Aadhar melalui celah API perusahaan utilitas negara 'Indane'. Karan Saini, seorang peneliti keamanan siber di New Delhi, menemukan kelemahan sistem ini dan memperingatkan perusahaan itu. Namun, peringatannya tak ditanggapi, bahkan dibantah oleh UIDAI di Twitter.

Laman teknologi AS 'ZDNet' pun turun tangan. Jurnalisnya beberapa kali mengirim surel kepada otoritas India. Usai sebulan tak mendapat jawaban, mereka menghubungi Konsulat India di New York dan menjelaskan masalah itu kepada konsul perdagangan dan bea cukai. Dua pekan berlalu tanpa tindakan apa pun untuk menghapus basis data yang terbuka. Baru pada 23 Maret 2018, setelah ZDNet menerbitkan artikel tersebut kepada pembaca AS, otoritas membuat jalur akses yang rentan ini menjadi luring (offline).

Bagian terburuknya, kebocoran data itu telah jatuh ke tangan yang salah. Jurnalis di surat kabar Tribune India dapat membeli data curian dari peretas yang menawarkannya melalui grup WhatsApp. Biayanya hanya USD 7 (Rp103 ribu) untuk mendapatkan informasi pribadi seseorang. Dengan tambahan USD 4 (Rp59 ribu), pembeli dapat memperoleh perangkat lunak untuk mencetak kartu Aadhaar palsu.

4. LinkedIn

Raksasa jaringan profesional 'LinkedIn' melihat data 700 juta penggunanya diunggah di forum laman gelap pada Juni 2021. Artinya, lebih dari 90 persen basis data penggunanya terdampak. Seorang peretas dengan nama akun 'God User' menggunakan teknik pengikisan data dengan mengeksploitasi API laman sebelum membuang kumpulan data informasi pertama dari sekitar 500 juta pengguna. Mereka lantas mengeklaim menjual seluruh 700 juta basis data pengguna.

Di sisi lain, LinkedIn berdalih tak ada data pribadi sensitif yang diekspos. Dengan demikian, insiden ini cenderung merupakan pelanggaran terhadap persyaratan layanannya, alih-alih pelanggaran data. Padahal, sampel data yang diunggah oleh God User berisi beragam informasi, termasuk alamat surel, nomor telepon, catatan geolokasi, gender, dan detail media sosial lainnya.

Artinya, banyak data bisa disalahgunakan pelaku kejahatan untuk melancarkan serangan siber lanjutan. Tak pelak, jejaring sosial ini mendapat peringatan dari Pusat Keamanan Siber Nasional Inggris (NCSC).

5. Facebook

Raksasa media sosial ini beberapa kali mengalami kebocoran data. Yang terbaru terjadi pada April 2021 ketika lebih dari 530 juta data penggunanya diunggah secara publik di forum peretasan daring. Data yang bocor tampaknya dari Facebook pada 2019 ketika sekelompok peretas memanfaatkan celah di pengimpor kontak Facebook.

Sebagian besar data yang dikeruk terkait dengan nomor telepon pengguna dan hanya 2,5 juta alamat surel yang diperoleh. Facebook memperbaiki celah tersebut pada September 2019. Namun, mereka memutuskan untuk tak memberi tahu 530 juta pengguna yang data pribadinya telah dihapus.

Akibat insiden ini dan insiden lainnya, Facebook mendapat tekanan dari Uni Eropa karena melanggar Peraturan Perlindungan Data Umum (GDPR). Pada Oktober 2021, Komisi Perlindungan Data Irlandia mengusulkan denda hingga 36 juta euro (Rp530 miliar) atas kebocoran data privasi ini.

Facebook juga pernah didenda USD 5 miliar (Rp74 triliun) oleh Komisi Perdagangan Federal (FTC) pada 2019. Denda ini mengikuti penyelidikan FTC sebelumnya yang berakhir dengan penyelesaian pada November 2011 atas kegagalan Facebook untuk merahasiakan data pengguna. Namun, Facebook tak mematuhi persyaratan penyelesaian 2011, sehingga dibuka penyelidikan dan hukuman baru pada 2019.

Terkait kebocoran data PLN dan Indihome, Menteri Komunikasi dan Informatika Johnny G. Plate mengatakan kedua perusahaan itu telah diberikan sanksi, termasuk sanksi administratif dan sejumlah rekomendasi terkait teknologi keamanan siber yang mesti diterapkan Penyelenggara Sistem Elektronik (PSE).