Cyberthreat.id –  Sejauh ini ada 33 layanan fintech peer to peer lending alias pinjaman daring berizin dan 124 layanan yang terdaftar di Otoritas Jasa Keuangan (OJK) per 14 Agustus 2020.

Dari daftar yang ada, Cyberthreat.id mencoba salah satu layanan secara acak, yaitu AdaKami. Setelah diunduh, kami membaca kebijakan privasi, mendaftar,dan mengecek izin akses aplikasi ke perangkat pengguna.

AdaKami bisa diakses di perangkat Android dan iPhone. Di AppStore, aplikasi ini diunduh lebih dari 5.600 pengguna, sedangkan di Google Play Store lebih dari 1 juta pengguna.

“AdaKami adalah sebuah penyelenggara peer-to-peer lending di Indonesia yang menyediakan fasilitas pinjaman (kredit) tanpa agunan melalui aplikasi online,” begitu perusahaan mendaku dirinya seperti tertulis di situs webnya yang diakses, Rabu (7 Oktober 2020).

“AdaKami dioperasikan oleh PT Pembiayaan Digital Indonesia, sebuah perusahaan berbadan hukum Indonesia yang berizin dan tunduk kepada peraturan peer-to-peer lending yang dikeluarkan dan diterapkan oleh Otoritas Jasa Keuangan (OJK).”

Layanan mereka memberi pinjaman antara Rp 1 juta hingga Rp 4 juta.

Memulai registrasi

Saat melakukan registrasi, prosesnya sama seperti fintech lain. Pengguna diminta memasukkan nomor ponsel dan membuat password akun. Setelah itu pengguna akan diberikan perjanjian layanan dan kebijakan privasi.

Kebijakan privasi dari AdaKami umumnya sama seperti fintech lain. Dijelaskan data pribadi apa saja yang disimpan, seperti nama, alamat email, tanggal lahir, nomor telepon, alamat, dan nomor rekening bank.

Data ini digunakan oleh mereka untuk menghitung skor kredit dan memastikan keaslian pengguna layanan. AdaKami mengatakan data dikumpulkan bersifat anonim dan aman dari akses pihak yang tidak berkepentingan. Mereka juga meyakinkan pengguna jika data pribadi pengguna tidak akan diperjualbelikan.

Dalam proses pendaftaran, pengguna diminta untuk memberikan akses ke kamera untuk mengambil foto KTP dan swafoto pengguna. Kemudian, ada izin akses ke lokasi dan mikrofon. Proses ini sudah sesuai dengan aturan dari OJK.

Namun, ini yang kemudian menjadi sedikit bermasalah.

Setelah melakukan pendaftaran, kami menerima pesan melalui SMS dan layanan WhatsApp yang mengatakan pinjaman yang diajukan sudah diterima.

Padahal, kami tidak mengajukan pinjaman sama sekali. Kami hanya melakukan pengamatan terkait dengan proses pendaftaran dan izin aplikasi.

Pesan yang diterima itu berisi pemberitahuan jika pinjaman yang diajukan sudah diterima dan diminta untuk mengisi kartu bank, yang disertai dengan sebuah tautan pendek.

"Pinjaman yang Anda kirim pada tanggal 4 dan 5 telah disetujui. Klik untuk mengisi kartu bank yang benar. Kami tidak dapat mengirimi Anda uang. Terima kasih atas kerjasamanya，Pesan dikirim untuk kedua kalinya. Jika Anda melihatnya, lanjutkan.(Versi yang baru saja diperbarui pada tanggal 5) https://pjmc.cc/1WN7Gad," demikian isi SMS.

Ketika tautan tersebut diklik, muncul pemberitahuan atau izin untuk menginstal sebuah aplikasi, seperti di bawah ini:

Hal ini yang mengundang tanya: mengapa kami harus menginstal aplikasi lagi?

Jika aplikasi itu mengandung malware, pengguna pada umumnya bisa-bisa tak menyadarinya. Memang ini belum tedeteksi apakah ada malware atau bukan, tapi pola kiriman seperti itu bisa dimanfaatkan penjahat-penjahat siber untuk meniru cara kerja fintech yang ditargetkan.

Yang menjadi pertanyaan berikutnya, bagaimana bisa setelah mendaftar aplikasi AdaKami, ada banyak pesan WhatsApp (tiga pesan) dan SMS (empat pesan) yang tidak jelas maksudnya yang diterima oleh kami?

Kami tengah mengonfirmasi hal tersebut ke Asosiasi Fintech Pendanaan Bersama Indonesia (AFPI) dan OJK, tapi belum mendapatkan jawaban. Kami akan memperbarui artikel jika telah mendapatkan tanggapan dari mereka.[]

Redaktur: Andi Nugroho

Update:

• Menguji Keamanan Aplikasi yang Diminta Unduh Setelah Mendaftar di Pinjol AdaKami, Terdeteksi Ada Malware