Cyberhtreat.id - Layanan pembayaran seluler populer di India, MobiKwik, menuai kecaman setelah 8,2 terabyte (TB) data milik jutaan penggunanya beredar di web gelap. Sebelumnya, manajemen MobiKwik membantah data penggunanya telah diretas.

Dilansir dari The Hacker News, data yang bocor termasuk informasi pribadi yang sensitifi seperti:

- Nama pengguna
- Kata sandi yang diacak
- Alamat email
- Alamat tempat tinggal
- Lokasi GPS
- Daftar aplikasi yang diinstal
- Nomor kartu kredit yang tertutup sebagian
- Rekening bank yang terhubung dan nomor rekening terkait, dan
- Dokumen kenali pelanggan Anda (know your customer/KYC) dari 3,5 juta pengguna

Yang memprihatikan, kebocoran itu juga menunjukkan bahwa MobiKwik tidak menghapus informasi kartu dari servernya bahkan setelah pengguna menghapusnya, yang kemungkinan besar merupakan pelanggaran peraturan pemerintah.

Sampel data pengguna MobiKwik yang dibocorkan dan ditawarkan untuk dijual di forum peretasan | Sumber: The Hacker News
 

Pedoman baru yang dikeluarkan oleh bank sentral India, Reserve Bank of India, melarang pedagang online, situs web e-niaga, dan agregator pembayaran untuk menyimpan detail kartu pelanggan secara online. Aturan tersebut akan mulai berlaku mulai Juli 2021.

Hingga Juli 2020, MobiKwik telah melayani 120 juta pengguna dan 3 juta pedagang pengecer di seluruh negeri.

Situs kebocoran data, yang dapat diakses melalui browser Tor dan menawarkan 36.099.759 catatan, tersedia online setelah perusahaan dompet digital itu membantah keras insiden itu pada 4 Maret menyusul laporan oleh peneliti keamanan independen Rajshekhar Rajaharia.

"Seorang peneliti keamanan yang gila media telah berulang kali selama seminggu terakhir menyajikan file yang dibuat-buat yang membuang-buang waktu berharga organisasi kami sementara dia berusaha keras untuk menarik perhatian media," tulis MobiKwik di Twitter pada 4 Maret 2021.  

"Kami menyelidiki tuduhannya secara menyeluruh dan tidak menemukan adanya penyimpangan keamanan. Berbagai contoh file teks yang dia tunjukkan tidak membuktikan apa-apa. Siapa pun dapat membuat file teks semacam itu untuk melecehkan perusahaan mana pun secara tidak benar," tambah MobiKwik.

Namun, pada 29 Maret kemarin, seperti dilaporkan freepressjournal.in, beberapa pengguna telah mengonfirmasi sebaliknya, menemukan detail pribadi mereka di situs "Kebocoran data MobiKwik India", mengonfirmasi kebenaran peretasan itu.

Mereka mempertanyakan kebijakan MobiKwik yang menyimpan detail kartu pembayaran tanpa persetujuan penggunanya. Lebih dari itu, mereka juga mempertanyakan sikap perusahaan terhadap peneliti keamanan siber yang tampaknya telah  membuat kesal para pengguna.

Tangkapan layar sejumlah pengguna mempertanyakan kebijakan MobiKwik merespon dugaan peretasan data

"Hai MobiKwik, kalian telah membocorkan semua informasi kartu pembayaran saya dengan detail akun bank saya kepada peretas, dan yang paling buruk, kalian tidak mengakuinya. Pathetic.  Saya cek link-nya dan itu menampilkan data yang sama dengan yang diakun MobiKwik saya," tulis Abishek Parihar di Twitter hari ini (30 Maret 2021).

"Jangan pernah berperilaku seperti @MobiKwik di utas ini sejak 25 hari yang lalu," kata Troy Hunt, peneliti keamanan dan pembuat alat pemberitahuan pelanggaran Have I Been Pwned, dalam sebuah tweet, menyindir penanganan MobiKwik atas situasi itu.

Menurut sumber yang dekat dengan insiden tersebut, peretasan itu awalnya diiklankan di forum pembocoran basis data pada 24 Februari, di mana seorang peretas mengklaim mendapat akses ke data 6TB dari pesaing Paytm yang tidak disebutkan namanya.

Menariknya, setelah Rajaharia mengungkap kebocoran tersebut, mengungkap identitas perusahaan, dan memperingatkan MobiKwik melalui email, firma tersebut secara bersamaan mengambil tindakan untuk menghentikan peretas agar tidak mengunduh data tersebut.

"Kami [...] kehilangan akses ke server perusahaan utama, meskipun tidak mengherankan ... Tidak dapat mengunduh sesuatu yang baru," kata peretas dalam postingan forum sehari kemudian, menambahkan bahwa sebagian data yang diunduh mungkin telah rusak.

Tapi sebulan kemudian, dalam daftar terpisah pada 27 Maret, peretas mengklaim, "kami memulihkan semua data dan itu untuk dijual," menawarkan apa yang diduga 8 TB dari data mereka seharga 1,5 bitcoin (sekitar Rp1,2 miliar)

Namun, rencana untuk menjual data tersebut tampaknya telah ditangguhkan hingga pemberitahuan lebih lanjut. "Hanya menjual ini ke perusahaan setelah verifikasi bahwa kami berurusan dengan perusahaan," kata peretas dalam pembaruan, menyarankan skema pemerasan.

Tidak segera jelas bagaimana pelaku ancaman berhasil mendapatkan akses tidak sah ke server MobiKwik, tetapi peretas berkata, "itu akan memalukan bagi perusahaan. Cerita akan berlanjut beberapa saat lagi. .."

Peneliti independen Avinash Jain yang juga memverifikasi kebocoran data itu mengatakan data pengguna paling baru dalam daftar itu adalah pada Januari 2021.

“Identifikasi Pengguna Pribadi pengguna dapat diakses dalam teks biasa dan disimpan secara tidak aman di server mereka,” kata Jain seperti dilansir dari  Indiatimes.com, 30 Maret  2021.

“Tampaknya penyerang menguasai infrastruktur cloud mereka dan dapat mengakses penyimpanan data tempat data ini disimpan,” tambahnya.

Jain menambahkan bahwa pelanggaran data sedang meningkat dan startup India perlu menangani keamanan data pengguna dengan serius dan mulai memperlakukannya sebagai prioritas utama.

Dalam beberapa bulan terakhir, startup India  mengalami pelanggaran data besar-besaran. Mobikwik yang berbasis di Gurugram bergabung dengan daftar target profil tinggi lainnya, platform grosir Big Basket, platform teknologi pendidikan Unacademy, dan agregator pembayaran JusPay.

Belum ada respon balasan dari MobiKwik terhadap keluhan sejumlah penggunanya yang meramaikan linimasa Twitter.[]