Cyberthreat.id – Badan Siber dan Sandi Negara (BSSN) membenarkan bahwa lembaganya telah berkoordinasi dengan layanan fintech, Cermati.com, terkait insiden siber data pelanggan yang ditawarkan di forum dark web.

“Bukan memberitahu, tapi berkoordinasi dengan pihak Cermati.com,” Juru bicara BSSN Anton Setiyawan “meluruskan” pertanyaan Cyberthreat.id, Rabu (4 November 2020) yang menanyakan apakah BSSN yang pertama kali memberitahukan informasi temuan data pelanggan tersebut.

Anton mengatakan, BSSN telah memberikan  rekomendasi langkah-langkah mitigasi dan perkuatan terhadap sistem elektronik Cermati.com.

Sebelumnya, basis data 2,9 juta pengguna platform Cermati.com ditawarkan di sebuah forum peretasan. Data itu dijual sepaket dengan 16 perusahaan lainnya termasuk milik redmart.lazada.sg. (Baca: Terkena Pelanggaran Data, Lazada Klaim Pengguna Indonesia Aman)

Total ada 34 juta basis data pengguna yang dijual. Data-data itu berasal akses tidak sah ke server milik 17 perusahaan, antara lain, redmart.lazada.sg, cermati.com everything5pounds.com, geekie.com.br, clip.mx, katapult.com, eatigo.com, wongnai.com, dan toddycafe.com.

Lalu,  game24h.vb, wedmegood.com, w3layouts.com, Apps-builder.com, Invideo.io, Coupontools.com, Athletico.com.br, dan fantasycruncher.com.

BleepingComputer, portal berita cybersecurity, mengatakan pemilik akun yang menjual data itu menyebut dirinya bukan pelaku peretasan, melainkan sebagai perantara untuk menjual data hasil peretasan.

---

Berita Terkait:

• Data 2,9 Juta Pengguna Dijual di Forum Peretasan, Cermati.com Akui Ada Akses Tidak Sah
• Ini Dia Sampel Data Pengguna Cermati.com yang Diretas dan Dijual Hacker
• Ardi Sutedja ICSF: Cermati.com Harusnya Enkripsi Semua Data Pengguna

---

Diunggah pada 28 Oktober 2020 dengan judul "Exclusive Private Databases”, penjual menampilkan sejumlah sampel data untuk  meyakinkan calon pembeli.

Peretas itu menamai dirinya di forum peretasan sebagai “ExpertData” dan tercatat baru bergabung pada September 2020.

Berdasarkan sampel data yang diunggah, basis data pengguna Cermati.com yang ditawarkan berupa alamat email, kata sandi yang terlindungi algoritma Bcrypt, nama, alamat rumah, telepon, pendapatan, bank, nomor pajak, nomor identitas, jenis kelamin, pekerjaan, perusahaan tempat bekerja, dan nama gadis ibu kandung.

Pada Sabtu pagi (31 Oktober 2020), Cyberhtreat.id mendapat email pemberitahuan dari Cermati.com berjudul "Pemberitahuan Pelanggan."

"Beberapa waktu lalu, kami mendeteksi adanya akses tidak sah ke dalam platform kami yang mengandung data dari sebagian pengguna Cermati.com,” tulis Cermati.com.

Cermati.com mengklaim pihaknya tidak menyimpan kata sandi penggunanya dalam bentuk teks, tetapi dengan enkripsi kuat menggunakan algoritma Bcrypt—sesuai dengan yang ditawarkan peretas.

Berikut ini cuplikan wawancara Cyberthreat.id dengan Anton Setiyawan melalui WhatsApp:

Sejauh ini bagaimana langkah dari BSSN terkait insiden yang dialami Cermati.com?

BSSN memberikan rekomendasi langkah-langkah mitigasi dan perkuatan terhadap sistem elektronik mereka.

Untuk investigasi sumber penyebab insiden, apakah hanya dilakukan oleh internal Cermati.com atau BSSN ikut serta membantu?

Hanya internal mereka dibantu oleh tenaga professional.

---

Berita Terkait:

• OJK Minta Penjelasan Cermati.com Soal Bobolnya Data Pengguna
• Begini Respon Pengguna Cermati.com Saat Tahu Data Pribadinya Bocor
• Alfons Vaksincom: Cermati.com Harusnya Transparan Soal Data Pengguna yang Bobol

---

Apakah BSSN menyarankan Cermati.com melaporkan insiden ini ke kepolisian?

Dalam rekomendasi teknis (BSSN, red) tidak ada saran seperti itu.

Di luar rekomendasi teknis, adakah saran laporan ke penegak hukum diberikan?

Anton tidak menjawab untuk pertanyaan ini. Selanjutnya, Cyberthreat.id mengajukan pertanyaan berikutnya.

Andaikata BSSN tidak memberikan saran laporan ke penegak hukum, baik di rekomendasi teknis atau luar teknis, Mengapa BSSN tidak melakukannya? Apakah Cermati.com yang harus melaporkan sendiri, begitu?

Ya, jika ingin ditindaklanjuti secara hukum, maka harus melaporkan sendiri ke pihak kepolisian.

Selama BSSN berdiri sejak 2017, adakah kasus insiden pelanggaran data seperti Cermati.com terungkap tuntas?

Di sisi BSSN, dianggap selesai jika rekomendasi yang diberikan sudah dijalankan dan dilaporkan kembali ke BSSN.

Berarti, di luar itu, adalah masuk wilayah hukum kepolisian ya? Di sinilah, kemampuan penegak hukum diuji, bukan begitu?

Benar, Mas.

Lantas pendapat BSSN bagaimana dengan fenomena insiden pelanggaran data yang mulai marak sejak tahun lalu? Apakah perlu diusut tuntas atau bagaimana?

Prioritas BSSN saat ini fokus pada tindakan preventif berupa penguatan keamanan siber PSE melalui pemenuhan standar SNI ISO 27001, program bug hunter, program secure coding, program penilaian mandiri keamanan informasi, serta peningkatan literasi keamanan siber dan pembangunan budaya keamanan siber.[]