Data pribadi jutaan orang Malaysia telah bocor dan di duga akan digunakan untuk dijual, sumber pelanggaran masih belum diketahui.  Pihak berwenang Malaysia sedang menyelidiki kasus pelanggaran data tersebut. Pencurian ini mencakup lebih dari 46 juta data pelanggan seluler di Malaysia yang berhasil di jebol.

Tidak hanya data pelanggan seluler Malaysia yang mengalami peretasan, database situs web pencari kerja dan catatan dari beberapa organisasi medis nasional juga terkena serangan cyber ini.

Bocornya Data Pelanggan Seluler Malaysia

Komisi Komunikasi dan Multimedia Malaysia, sebuah regulator pemerintah, telah mengidentifikasi sumber kebocoran data pelanggan seluler, dengan bantuan dari polisi, kantor berita pemerintah Malaysia Bernama melaporkan pada hari Rabu.

Menteri komunikasi dan multimedia negara itu, Salleh Said Keruak, mengatakan bahwa pihaknya akan melakukan “tindakan segera” untuk menemukan mereka yang bertanggung jawab atas pelanggaran tersebut, yang melanggar Undang-Undang Perlindungan Data Pribadi negara bagian 2010, seperti yang dikutip dari Bernama.

Sejauh ini, nampaknya hanya situs pencari kerja, yang disebut JobStreet.com, telah memberikan pengumuman resmi pada korban pelanggaran. Malaysia tidak memiliki undang-undang pemberitahuan pelanggaran wajib.

Pelanggaran tersebut kemungkinan merupakan insiden keamanan cyber terbesar di Malaysia. FireEye, sebuah konsultan keamanan cyber,  telah melakukan investigasi terhadap bocornya data pelanggan seluler di Malaysia. Menurut FireEye, sebagian besar kasus tidak pernah dipublikasikan.

“Saya pikir ini adalah pelanggaran yang sangat besar dalam konteks Malaysia,” kata Boland. “Ini sangat mungkin setiap orang di Malaysia terkena dampak kasus pencurian data pribadi”.

Kasus Pencurian Data Pelanggan Seluler Terbesar di Asia

Data yang terpapar mencakup 46,2 juta catatan ponsel dari selusin operator telekomunikasi dan operator virtual seluler di Malaysia. Populasi Malaysia sekitar 31 juta, menunjukkan bahwa beberapa catatan untuk orang yang sama dikompromikan.

Catatan telepon berisi alamat pelanggan, nomor telepon prabayar dan pascabayar dan informasi kartu SIM, termasuk nomor IMEI dan IMSI, menurut Lowyat.net, situs berita teknologi yang mempublikasikan hal ini pada 19 Oktober.

Lowyat.net menemukan kasus pencurian data pelanggan telepon seluler tersebut pada pertengahan Oktober lalu,. Pertama kali, mereka mengetahui melalui sebuah postingan yang menjual data curian. Data curian tersebut dijual dengan sejumlah bitcoin (mata uang virtual ) di forum lowyat. Forum ini mirip seperti Kaskus dan Forum komunitas publisher adsense di Indonesia.

“Sementara kami menganggap hal itu hanya sebagai ‘scammer’ lain yang ingin menghasilkan uang dengan cepat, kami memutuskan untuk menggali lebih jauh dan menemukan bahwa ini bisa menjadi salah satu kasus pencurian data terbesar yang pernah ada dalam sejarah Malaysia,” tulis situs tersebut.

Setelah menerbitkan sebuah berita pada 19 Oktober, Komisi Komunikasi dan Multimedia Malaysia memerintahkan penerbit untuk menghapus iklan dari forum lowyat tersebut.

Tapi kemudian regulator memerintahkan penerbit untuk menghapus berita kasus pencurian data pelanggan seluler. Setelah setidaknya satu kelompok hak asasi manusia mengkritik perintah tersebut, regulator mengizinkan penerbit tersebut untuk mengembalikan cerita tersebut secara online.

Lowyat.net, yang memeriksa data secara ekstensif, melaporkan bahwa file telekomunikasi terakhir kali dimodifikasi antara bulan Mei dan Juli 2014. Kasus pencurian data tersebut terjadi pada banyak organisasi di Malaysia.

Berikut organisasi yang terkena serangan pencurian data:

  • Malaysian Medical Council
  • Malaysian Medical Association
  • Academy of Medicine Malaysia
  • Permohonan Pinjaman Perumahan Malaysia
  • Malaysian Dental Association dan National Specialist Register of Malaysia.
  • Database medis yang berisi informasi pribadi

 

Penjualan Data Hasil Curian

Mengutip seorang peneliti anonim, Reuters melaporkan pada hari Rabu bahwa data tersebut pada satu waktu akan dijual di beberapa forum web bawah tanah seharga 1 bitcoin, saat ini bernilai sekitar Rp. 88 juta. Dan terkadang juga tersedia secara gratis melalui link di forum.

Ahli pelanggaran data Australia Troy Hunt memperoleh data JobStreet dari situs web “tersembunyi”, atau satu host menggunakan sistem anonimitas Tor. Dia sekarang telah memasukkan alamat email yang bocor ke Have I Been Pwned, sebuah situs web gratis yang memberitahukan pengguna terdaftar kapan saja alamat email mereka muncul dalam pelanggaran data utama.

Hunt mengatakan bahwa dia memiliki akses ke data bocor lainnya, namun memilih untuk hanya menempatkan JobStreet di HIBP. Itu adalah satu-satunya kumpulan data yang memiliki sejumlah besar alamat email, yang layanannya digunakan untuk memberi tahu korban, katanya.

Data JobStreet mencakup 4 juta alamat email, menurut deskripsi Hunt tentang HIBP. Data tersebut juga mencakup nama, jenis kelamin, kebangsaan, tanggal lahir, nomor telepon, alamat fisik, kata sandi, nama pengguna, lokasi geografis, ID yang dikeluarkan pemerintah dan status perkawinan.

Lowyat.net melaporkan bahwa JobStreet mengatakan bahwa data tersebut tampaknya mempengaruhi pengguna yang terdaftar sebelum Juli 2012. Publikasi tersebut menyertakan salinan email pemberitahuan pelanggaran JobStreet kepada satu pengguna, yang bertanggal Rabu.

Dengan judul “Pemberitahuan Keamanan Penting,” email tersebut mengatakan: “Tidak ada bukti yang menunjukkan bahwa akun pribadi Anda telah diakses melampaui 2012“. JobStreet lupa memberi tahu pengguna data apa yang telah bocor, yang dianggap sebagai praktik terbaik.

Para Scammer Bergembira

Hunt mengatakan bahwa kasus pencurian data pelanggan telepon seluler, jobstreet, dan lainnya di Malaysia menjadi penting karena sejumlah besar data dari berbagai sumber dikumpulkan ke satu tempat. Yang unik adalah seseorang memasang data dan membuatnya tersedia secara gratis sementara orang lain mencoba untuk menjualnya.

Kemungkinan data telah menyebar lebih jauh, kata Hunt. “Tidak mungkin mengatakan berapa banyak pihak yang telah memperoleh data itu, tapi saya berharap ada banyak cara yang berbeda mengingat bagaimana penerbitannya,” katanya.

Data ponsel sangat berguna bagi penyerang, kata Boler FireEye. Dengan nomor telepon, scammers dapat menghubungi calon korban melalui SMS atau aplikasi seperti WhatsApp atau Skype, mengirimkan tautan berbahaya dengan perangkat lunak berbahaya. Upaya rekayasa sosial dapat mencoba mengelabui orang agar mengungkapkan lebih banyak informasi pribadi.

“Saya akan mengantisipasi kemungkinan akan terjadi peningkatan jumlah orang yang menjadi sasaran penjahat,” kata Boland.

Peringatan Keamanan untuk Indonesia

Kejadian ini merupakan peringatan keamanan untuk negara Indonesia. Dimana Kominfo sedang giat melakukan sosialisasi registrasi ulang kartu telkom prabayar, sementara kedaulatan data merupakan hal yang lebih serius untuk ditangani.

Sama seperti di Indonesia, berdasarkan hukum Malaysia, penyedia layanan diwajibkan untuk menjaga agar data pribadi pelanggan tetap aman. Jadi, mungkin akan ada akibat hukum jika terjadi kasus bocornya data pengguna telepon seluler.

Oleh karena itu, kedaulatan data – sebagai alat untuk melindungi data pribadi masyarakat Indonesia – semakin menjadi issue penting saat ini. Pihak operator seluler di Malaysia pun sudah barang tentu telah memenuhi standar manajemen keamanan sistem informasi (ISO 27001). Namun, pada kenyataanya, 46 juta data pelanggan seluler tetap dapat di jebol.

Dari kasus bocornya data pelanggan seluler di Malaysia tersebut, ini menunjukkan bahwa pihak operator seluler di negara tersebut kurang memiliki kendali terhadap keamanan sistem. Biasanya, hal ini disebabkan dengan penggunaan infrastruktur di luar negara tersebut, sehingga penyusupan sulit di deteksi.