Cyberthreat.id - Data pribadi pengguna platform pertukaran cryptocurrency (mata uang kripto) digunakan untuk melakukan kejahatan pertukaran kartu SIM (SIM Swapping). Skema ini diamati pada pembobolan data pribadi platform cryptocurrency Coinsquare yang berbasis di Kanada tahun lalu.

Hacker memperoleh data pribadi dan informasi sensitif pengguna Coinsquare. Data dan informasi yang bocor menjadi modal untuk melakukan SIM Swapping. Kasus ini membuktikan minat hacker yang tak pernah berhenti mencari celah keamanan dalam otentikasi berbasis ponsel atau perangkat telekomunikasi. 

SIM Swapping membuat kendali sebuah nomor ponsel beralih ke pihak lain. Para penjahat mengambil kontrol atas nomor telepon seseorang. Setelah itu penjahat bisa meminta pengaturan ulang password untuk beberapa situs web atau kode otentikasi dua faktor (2FA). SIM Swapping membuat penjahat leluasa mencuri mata uang kripto.

Coinsquare dalam pengakuannya kepada Motherboard mengatakan, insiden pelanggaran data jadi pelajaran berharga terkait risiko orang dalam yang diberi akses. Seorang mantan karyawan diduga bertanggung jawab mencuri data pengguna lalu menjualnya kepada hacker.

"Maksud awalnya adalah untuk menjual data tersebut, tetapi kami berpikir bisa menghasilkan lebih banyak uang dengan melakukan SIM Swapping lalu mengontrol akun," kata seorang hacker yang memberikan data Coinsquare kepada Motherboard dilansir VICE, Selasa (2 Juni 2020).

Coinsquare adalah platform digital yang memungkinkan pengguna membeli dan menjual Bitcoin, Ethereum, dan mata uang kripto lainnya. Di situs webnya, Coinsquare memiliki tagline sebagai "platform perdagangan paling aman."

Hacker yang diwawancarai Motherboard mengatakan, tagline Coinsquare membuat dirinya tertantang untuk membobol akun pengguna berikut nomor teleponnya.

"Saya bermaksud mempermalukan perusahaan (Coinsquare) karena mengklaim sebagai pertukaran cryptocurrency paling aman. Itu jelas bohong," ungkap hacker tersebut.

Motherboard mendapatkan sampel data Coinsquare yang bocor mencakup lebih dari 5.000 email pengguna, nomor telepon, dan dalam beberapa kasus tersedia alamat fisik/rumah. Data ini juga berisi kolom berjudul "total $ yang didanai pengguna pada enam bulan pertama," yang berarti jumlah $ yang dimasukkan ke dalam akun Coinsquare pengguna dalam periode itu.

Kemudian data itu juga mengidentifikasi "klien bernilai tinggi" yang ditandai khusus oleh Coinsquare.

Orang Dalam

Motherboard mencoba memverifikasi data dengan membuat akun di Coinsquare. Menariknya, akun yang dibuat menggunakan email yang sudah bocor. Ini tentu tidak mungkin karena alamat email sudah ditautkan ke akun Coinsquare yang kemudian menyarankan bahwa data itu sudah berhubungan/terkait dengan pengguna. 

Beberapa email yang diuji tidak tersedia di pencarian Google. Ini menunjukkan bahwa sebagian besar data yang bocor merupakan informasi pribadi.

Motherboard juga menghubungi beberapa orang yang tercantum dalam database yang bocor. Tiga orang menjawab dan mengkonfirmasi bahwa mereka adalah pengguna Coinsquare, sedangkan dua orang mengkonfirmasi nomor teleponnya benar.

Coinsquare berkali-kali menegaskan data yang bocor bukan bukan berasal dari sistem yang diretas, tetapi seorang mantan karyawan mencuri informasi tersebut lalu menjualnya ke seorang hacker yang berhasil diwawancarai Motherboard.

"Data (yang bocor) tersebut berasal dari informasi karyawan yang dicuri dan terdapat dalam database hubungan klien yang biasa digunakan untuk memprospek calon pelanggan," ungkap Stacey Hoisak, penasihat umum Coinsquare.

Usai mengetahui kebocoran data, Coinsquare langsung berkoordinasi dengan penegak hukum, memberi tahu pengguna telah terjadi 'data breach' sekaligus memperingatkan pengguna yang terkena dampak kebocoran data.

"Sejak kami mengetahui masalah ini tahun lalu, Coinsquare telah menggantikan sistem manajemen penjualan internal, menulis ulang kebijakan manajemen data, dan meningkatkan kontrol internalnya. Sejak saat itu kami tidak mendengar lagi adanya pelanggaran atau pencurian oleh karyawan."

Semua jenis perusahaan teknologi pasti akan menghadapi masalah dari karyawan atau kontraktor yang mencuri atau menyalahgunakan akses ke data pengguna. Bulan lalu, Motherboard melaporkan seorang hacker menyuap seorang pekerja di video game raksasa Roblox untuk mengakses dan memanipulasi data pengguna. []