Cyberthreat.id – Kepolisian Federal Australia (AFP) menangkap seorang pemuda berusia 19 tahun di Sydney karena diduga menggunakan data pelanggan Optus yang bocor di internet untuk pemerasan.

Tersangka menggunakan data 10.200 pelanggan yang dibocorkan di sebuah forum jual beli data.

Dengan data itu, ia mengirimkan SMS ancaman kepada pelanggan bahwa data pribadi mereka akan dijual ke peretas lain, kecuali mereka membayar US$1.300 dalam waktu dua hari.

Dalam aksinya, tersangka menggunakan rekening Commonwealth Bank of Australia sebagai tempat penampungan uang pemerasan. Dari situlah, polisi menemukan siapa pemilik rekening, tulis BleepingComputer, diakses Jumat (7 Oktober 2022).

Menurut kepolisian, tersangka mengirim pesan pemerasan kepada 93 orang, tapi tak satupun dari korban yang membayar uang tebusan.

Tersangka terancam hukuman 10 tahun penjara berdasarkan KUHP dan terancam 7 tahun penjara berdasarkan UU Kriminal.

Sejauh ini kasus peretasan Optus masih terus diselidiki dan kepolisian belum mengidentifikasi siapa dalang insiden siber tersebut.

Jejak insiden

Kabar peretasan ini bermula pada 22 September lalu. Optus, operator seluler terbesar kedua di Australia, melalui situswebnya memberikan pernyataan pers bahwa perusahaan terkena serangan siber.

“Setelah mengetahui hal itu, Optus segera menutup serangan tersebut,” tulis perusahaan.

“…serangan siber mengakibatkan tereksposenya informasi pribadi pelanggan kami…,” ujar CEO Optus Kelly Bayer Rosmarin.

Informasi pelanggan itu mencakup nama pelanggan, tanggal lahir, nomor telepon, alamat email, alamat fisik, dan nomor dokumen identitas diri, seperti SIM dan nomor paspor.

Namun, tidak ada kata sandi akun atau informasi keuangan, klaim Optus. Layanan seperti internet seluler dan rumah serta panggilan suara tidak terpengaruh. Layanan diklaim masih aman dan beroperasi seperti biasa.

Di hari berikutnya, 23 September, sebuah akun anonim “OptusData” di forum jual beli data, BreachForums, mengklaim telah memiliki data 11 juta pelanggan Optus.

Ia kemudian meminta uang tebusan sebesar US$ 1 juta dan jika tidak dibayar, data tersebut akan dibocorkan ke publk.

Berbicara kepada BleepingComputer, peretas mengatakan memanfaatkan kerentanan pada titik akhir API untuk mencuri data alih-alih melanggar sistem internal Optus.

Karena tidak digubris perusahaan, peretas itu merilis data pribadi 10.200 pelanggan secara gratis. Peretas sempat memberikan keterangan akun rekeningnya di Commonwealth Bank of Australia (CBA) sebagai rekening penampungan pembelian. Tapi, rekening itu kemudian telah diblokir.

Sejak Optus dan penegak hukum Australia bekerja menyelidikinya, di bawah “Operation Hurricane”, peretas tak lagi meminta uang tebusan. Ia juga menyatakan tidak lagi menjual atau membocorkan data kepada siapa pun.

Peretas mengklaim telah menghapus data dari perangkatnya dan meminta maaf kepada pelanggan Optus. “Terlalu banyak mata-mata. Kami tidak akan menjual data kepada siapa pun,” katanya.

Pada 3 Oktober, Optus mengatakan sebanyak 1,2 juta pelanggan terkena dampak kebocoran data.[] (Baca: Operator Seluler Australia Optus Diretas, Data 1,2 Juta Pelanggan Terkena Dampak)