Pinjaman Online KreditPlus Kebocoran 896 Ribu Data Pengguna

Beberapa bulan lalu, Indonesia dihebohkan oleh informasi bahwa salah satu marketplace terbesar Indonesia mengalami kebocoran data pengguna. Kini insiden serupa kembali terjadi dan dialami oleh platform keuangan dan pinjaman online KreditPlus.

Via akun Twitter @secgron, peneliti sekaligus konsultan keamanan siber Teguh Aprianto mengunggah informasi mengindikasikan bahwa sekitar 896 ribu data pengguna KreditPlus telah beredar luas dan diperdagangkan.

Informasi ini didukung oleh screenshot yang diunggahnya di akun Twitter tersebut, menampilkan penawaran data pengguna KreditPlus oleh akun bernama Megadimarus di salah satu forum hacker RaidForums.

Mengutip situs pelacak kebocoran data HaveIBeenPwned, kebocoran data pengguna KreditPlus meliputi nomor KTP, nama lengkap, tanggal lahir, alamat email, nama kantor, nama anggota keluarga, jenis kelamin, gaji per bulan, status pernikahan, nama ibu, nomor handphone, nama pasangan dan agama.

Namun untuk keamanan akun KreditPlus, Teguh menyebut dirinya tidak menemukan kebocoran, dan password dari pengguna KreditPlus dengan data yang mengalami kebocoran tersebut masih dalam bentuk bcrypt atau hash.

Dengan demikian, peretas masih harus menembus sistem keamanan lain sehingga dapat memperolehnya. Kebocoran data disebut terjadi pada tanggal 23 Juni 2020 lalu, namun baru diunggah oleh akun penjual pada tanggal 27 Juni 2020, melalui akun Megadimarus.

Sebagai informasi, Megadimarus diketahui anggota RaidForums memiliki reputasi cukup baik. Hal ini ditunjukkan melalui titel di bagian bawah nama akun, yaitu GOD. Namun Megadimarus bukanlah akun pertama yang menyebarkan data pengguna KreditPlus.

Data KreditPlus telah disebarkan pada pertengahan bulan lalu, repatnya di tanggal 16 Juli oleh anggota raid forums bernama ShinyHunters. Berdasarkan penelitian Teguh Aprianto, ShinyHunters juga bukan pihak pertama yang menyebarkan data pengguna KreditPlus.

Peneliti keamanan siber yang menjadi orang pertama yang mengungkap kasus ini menyebut bahwa data nasabah KreditPlus pertama kali diunggah pada tanggal 27 Juni 2020. Teguh juga menyebut bahwa meski kejadian ini sudah diketahui pihak KreditPlus sejak bulan Juni lalu, namun hingga saat ini, KreditPlus belum memberikan tanggapannya.