Kebocoran Data di Lazada

Lembaga Riset Siber Indonesia CISSReC (Communication and Information System

Security Research Center) melakukan analisis terhadap kasus kebocoran data yang dialami situs
marketplace Lazada dan Cermati dalam kurang waktu seminggu.

Chairman CISSReC Pratama Persadha mengatakan terkait kabar bocornya data pengguna
Lazada itu, harus digarisbawahi bahwa breach data atau kebocoran data tersebut terjadi di sistem
Redmart, yang memang ada di bawah Lazada. Sistem Redmart itu sudah terintegrasi sejak 2019,
ketika perusahaan tersebut diakuisi Lazada pada 2016.

Pihak Lazada sendiri mengklaim kalau kebocoran data yang dialami mereka hanya di
database milik Redmart. Adapun persoalan tersebut dikarenakan adanya akses ilegal yang
kemungkinan berasal dari hosting pihak ketiga, yang terakhir diperbaharui tahun 2019."Ada
kemungkinan ini juga terkait proses integrasi sistem yang terjadi juga pada 2019. Namun, ini
lebih dalam harus dilakukan penyelidikan lebih jauh," sebut Pratama, Senin (2/11/2020).

Diketahui, data yang bocor sebanyak 1,1 juta juga hanya data Redmart, akan tetapi cukup
variatif informasinya bahkan ada data kartu kredit. Lazada mengatakan kepada penggunanya
diminta tenang, meskipun dianjurkan untuk menggantikan password.

"Terutama warga Indonesia di Singapura yang menggunakan redmart harus mengganti

password segera dan mengecek status kartu kredit mereka," kata pria asal Cepu, Jawa Tengah
ini.

"Ini penting untuk tahu apakah ada transaksi ilegal tanpa sepengetahuan mereka, karena
datanya sudah dijual di darkweb dengan harga 1.500 dollar US. Bahkan saat dicek di raid forums
tanah air, sudah ada yang menjualnya," tuturnya.

Lebih lanjut lagi, disampaikan Pratama, di raidforums juga ramai diperjualbelikan data
Cermati sebanyak 2,9 juta user. Penjualnya, ungkap CISSReC, dengan username
"expertdata"."Bukan hal baru peristiwa peretasan data marketplace, karena memang banyak data
yang disimpan dalam sistem mereka. Dalam kasus Cermati ini cukup berbahaya," ungkap
Pratama.
 Kebocoran data yang dialami Cermati ini ada 2,9 juta data user yang diambil dari
kegiatan 17 perusahaan, sebagian besar kegiatan finansial. Mulai dari KTA, asuransi sampai
kartu kredit.

"Karena itu perlu dilakukan penyelidikan mendalam lewat digital forensik, diamankan
saja lubang keamanan yang mengakibatkan breach data terjadi," pungkas dia.

Kasus Order Fiktif Lazada Sebesar 22 Juta

Seorang bernama Irfan Rinaldi menjelaskan soal order fiktif atas nama istrinya ke e-
commerce Lazada Indonesia. Hal ini ia sampaikan melalui Twitter pada Senin (22/1) lalu. Hal ini
bermula dari sang istri yang tidak melakukan transaksi apapun, namun mendapat notifikasi jika
ada order senilai 22 juta.

Melalui akun pribadinya @IrfanRinaldi, ia menyebut bahwa sang istri tidak mendapatkan
notifikasi OTP atau One Time Password, tidak ada SMS masuk dari bank, dan tiba-tiba CS Bank
menelepon soal anomali transaksi senilai 22 juta ke Lazada. Irfan sempat menanyakan soal
absennya OTP ketika memproses pembayaran via kartu kredit.

Cuitan Irfan akhirnya sampai ke Chief Marketing Officer Lazada, Achmad Alkatiri. Sang
CMO langsung menanggapi cuitan tersebut dan berargumen bahwa OTP selalu ada jika transaksi
di atas 750 ribu Rupiah. Bahkan jika di bawah 750 ribu, digunakan risk engine algo.

Selanjutnya Sang CMO menanyakan apakah kartu kredit milik sang istri hilang atau
tidak, ditanggapi dengan jawaban bahwa kartu kredit masih di tangan sang istri. Hal ini
ditanyakan karena si pembobol harus tahu CVV atau kode verifikasi yang jadi tiga angka
terakhir di bagian belakang kartu kredit.

Akhirnya hal ini diinvestigasi dengan kesimpulan sementara bahwa si pembobol masuk
ke email sang istri untuk tahu CVV kartu kreditnya dan melakukan transaksi, dengan email yang
benar-benar sama tanpa menggantinya.

Hari berikutnya, Irfan akhirnya mengupdate kasus ini kembali lewat Twitter, di mana
Lazada melalui perwakitalnnya yakni Juniati Riwu yang merupakan Wakil Presiden CS Lazada
Indonesia. Dalam email tersebut, Lazada memberikan pernyataan tertulis bahwa situs e-
commerce tersebut akan memproses refund sebesar 22.475.000 Rupiah.

Irfan melalui cuitannya juga, menyebut bahwa jika menggunakan CVV tidak ada
pengamanan OTP.

Kartu Kredit Pelanggan Lazada Jebol

Jakarta - Kasus jebolnya kartu kredit pelanggan Lazada Indonesia membuat petinggi situs
e-commerce itu angkat bicara untuk memberikan penjelasan.Seperti diberitakan sebelumnya,
seorang pemuda bernama Tri Kurniawan Darmoko mengaku harus merugi jutaan rupiah akibat
transaksi yang dilakukan orang yang tidak bertanggung jawab.

Padahal menurutnya, ia sudah lama tidak berbelanja online di situs Lazada itu. Terakhir
setahun yang lalu, katanya. Namun anehnya, akunnya kemudian dipakai untuk bertransaksi dan
telah berubah alamat email.

Untuk itu, salah satu wartawan dari majalah online pun telah meminta konfirmasi dari
pihak Lazada. Berikut adalah penjelasan yang disampaikan oleh Florian Holm, co-CEO Lazada
Indonesia, Sabtu (9/4/2016), terkait masalah ini:

Pada hari Sabtu pagi (9 April 2016), seseorang melakukan pemesanan di Lazada dengan
memperoleh informasi login milik konsumen Lazada. Lazada segera melakukan pembatalan
order dan proses pengembalian dana ke kartu kredit konsumen sudah dalam proses. Pada
kejadian ini tidak ada isu keamanan pada sistem Lazada, namun hal ini terjadi karena
pengambilalihan akun milik konsumen pada kejadian ini.

Untuk memperkuat keamanan, Lazada juga telah menggunakan fitur verifikasi 3DS
untuk semua pemesanan yang menggunakan kartu kredit. Fitur ini memungkinkan verifikasi dua
tahap untuk semua order. Apabila akun seseorang telah diambil alih, maka pelaku tetap tidak
bisa melanjutkan pemesanan.

Lazada juga ingin menggunakan momen ini untuk menganjurkan kepada konsumen
untuk memastikan keamanan dari informasi akun personalnya. Memastikan penggunaan kata
sandi yang tidak mudah ditebak oleh pihak lain dan menggunakan kata sandi yang berbeda untuk
akun online yang berbeda.

Pengguna juga diharapkan untuk selalu log out dari akun emailnya, termasuk pada saat
menggunakan komputer umum. Tindakan lanjutan untuk memastikan keamanan adalah untuk
melakukan instalasi program anti-virus dan lebih waspada terhadap tindakan pengelabuan untuk
mendapatkan informasi penting (phishing).

Analisa Kasus :

Kejahatan seperti kasus di atas sekarang marak terjadi karena kurang nya tingkat kesadaran
masyarakat akan keamanan dalam melakukan transaksi pembayaran di tempat-tempat umum
sehingga mempermudah para oknum yang tak bertanggung jawab untuk melakukan kejahatan.
Saat ini di Indonesia belum memiliki UU khusus/Cyber Law yang mengatur mengenai
Cybercrime, walaupun UU tersebut sudah ada sejak tahun 2000 namun belum disahkan oleh
Pemerintah Dalam Upaya Menangani kasus-kasus yg terjadi khususnya yang ada kaitannya
dengan cyber crime. Dalam menangani kasus carding para Penyidik (khususnya Polri)
melakukan analogi atau perumpamaan dan persamaan terhadap pasal-pasal yang ada dalam
KUHP Pasal yang dapat dikenakan dalam KUHP pada Cybercrime. Sebelum lahirnya UU No.11
tentang Informasi dan Transaksi Elektronika (ITE), maka mau tidak mau Polri harus
menggunakan pasal-pasal di dalam KUHP seperti pasal pencurian, pemalsuan dan penggelapan
untuk menjerat para carder, dan ini jelas menimbulkan berbagai kesulitan dalam pembuktiannya
karena mengingat karakteristik dari cyber crime sebagaimana telah disebutkan di atas yang
terjadi secara nonfisik dan lintas negara.

Di Indonesia, carding dikategorikan sebagai kejahatan pencurian, yang dimana pengertian

Pencurian menurut hukum beserta unsur-unsurnya dirumuskan dalam pasal 362 KHUP yaitu:
“Barang siapa mengambil suatu benda yang seluruhnya atau sebagian milik orang lain, dengan
maksud untuk dimiliki secara melawan hukum, diancam karena pencurian, dengan pidana
penjara paling lama 5 tahun atau denda paling banyak sembilan ratus rupiah”. Untuk menangani
kasus carding diterapkan Pasal 362 KUHP yang dikenakan untuk kasus carding dimana pelaku
mencuri nomor kartu kredit milik orang lain walaupun tidak secara fisik karena hanya nomor
kartunya saja yang diambil dengan menggunakan software card generator di Internet untuk
melakukan transaksi di e-commerce. Setelah dilakukan transaksi dan barang dikirimkan,
kemudian penjual yang ingin mencairkan uangnya di bank ternyata ditolak karena pemilik kartu
bukanlah orang yang melakukan transaksi.

Kemudian setelah lahirnya UU ITE, khusus kasus carding dapat dijerat dengan menggunakan
pasal 31 ayat 1 dan 2 yang membahas tentang hacking. Karena dalam salah satu langkah untuk
mendapatkan nomor kartu kredit carder sering melakukan hacking ke situs-situs resmi lembaga
penyedia kartu kredit untuk menembus sistem pengamannya dan mencuri nomor-nomor kartu
tersebut.

Bunyi pasal 31 yang menerangkan tentang perbuatan yang dianggap melawan hukum menurut
UU ITE berupa illegal access:

Pasal 31 ayat 1: “Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan
intersepsi atau penyadapan atas informasi elektronika dan atau dokumen elektronik dalam suatu
komputer dan atau sistem elektronik secara tertentu milik orang lain.”

Pasal 31 ayat 2: “Setiap orang dengan sengaja atau tanpa hak atau melawan hukum melakukan
intersepsi atau transmisi elktronik dan atau dokumen elektronik yang tidak bersidat publik dari,
ke dan di dalam suatu komputer dan atau sistem elektronik tertentu milik orang lain, baik yang
tidak menyebabkan perubahan, penghilangan dan atau penghentian informasi elektronik dan atau
dokumen elektronik yang ditransmisikan.”

Jadi sejauh ini kasus carding di Indonesia baru bisa diatasi dengan regulasi lama yaitu pasal 362
dalam KUHP dan pasal 31 ayat 1 dan 2 dalam UU ITE. Penanggulangan kasus carding
memerlukan regulasi yang khusus mengatur tentang kejahatan carding agar kasus-kasus seperti
ini bisa berkurang dan bahkan tidak ada lagi. Tetapi selain regulasi khusus juga harus didukung
dengan pengamanan sistem baik software maupun hardware, guidelines untuk pembuat
kebijakan yang berhubungan dengan computer-related crime dan dukungan dari lembaga khusus.

kegiatan cyber meskipun bersifat virtual dan maya dapat dikategorikan sebagai tidakan dan
perbuatan hukum yang nyata.

Secara yuridisuntuk ruang cyber sudah tidak ada tempatnya lagi untuk mengkategorikan sesuatu
dengan ukuran dan kualifikasi hukum konvensional untuk dapat dijadikan objek dan perbuatan,
sebab jika cara ini yang ditempuh akan terlalu banyak kesulitan dan hal-hal yang lolos dari jerat
hukum. Karena kegiatan ini berdampak sangat nyata meskipun alat buktinya bersifat elektronik.
Dengan demikian subjek pelakunya harus dikualifikasikan pula sebagai orang yang telah
melakukan perbuatan hukum secara nyata. Dan penyempurnaan undang – undang dibidang
cyberspace

Pencegahan dengan teknologi

Handphone dapat dikatakan merupakan keamanan yang privacy bagi penggunanya. SMS
bisadijadikan sebagai otentikasi untuk mencegah para carding menggunakan kartu kredit ilegal.
Untuk itu diperlukan suatu proses yang dapat memberikan pembuktian bahwa dengan cara
otentikasi sms dilakukan dengan menggunakan tanda tangan digital dan serifikat.

Pencegahan dengan pengamanan web security.

Penggunaan sistem keamanan web sebaiknya menggunakan keamanan SSL. Untuk data yang
disimpan kedalam database sebaiknya menggunakan enkripsi dengan metode algoritma modern,
sehingga cryptoanalysis tidak bisa mendekripsikanya.

Pengamanan pribadi

Pengamanan pribadi adalah pengamanan dari sisi pemakai kartu kredit. Pengamanan pribadi
antara lain secara online dan offline :

1. Pengamanan pribadi secara offline :

Anda harus memastikan kartu kredit yang anda miliki tersimpan pada tempat yang aman.

Jika kehilangan kartu kredit dan kartu identitas kita, segeralah lapor ke pihak berwajib dan pihak
bank serta segera lakukan pemblokiran pada saat itu juga.

Jangan tunggu waktu hingga anda kebobolan karena digunakan oleh orang lain (baik untuk
belanja secara fisik maupun secara online).

Pastikan jika anda melakukan fotocopy kartu kredit dan kartu identitas tidak sampai digandakan
oleh petugas layanan (yang minta fotocopy kartu kredit anda) atau pegawai fotocopy serta tidak
dicatat CVV-nya. Tutup 3 digit angka terakhir CVV dengan kertas putih sebelum kartu kredit
kita fotocopy. Hal ini untuk menghindari penyalahgunaan kartu kredit kita oleh pihak lain
dengan tidak semestinya. Perlakuan pengamanan CVV anda sama pengamanan PIN atau
Password anda.

Jangan asal atau sembarangan menyuruh orang lain untuk memfoto copy kartu kredit dan kartu
identitas.

Waspadalah pada tempat kita berbelanja, pastikan pada tempat belanja / tempat shopping /
counter / gerai / hotel, dll yang benar-benar jelas kredibilitasnya.

2. Pengamanan Pribadi Secara Online :

Belanja ditempat (Website online shopping) yang aman, jangan asal belanja tapi tidak jelas
pengelolanya atau mungkin anda baru pertama mengenalnya sehingga kredibilitasnya masih
meragukan.

Pastikan pengelola website transaksi online menggunakan SSL (Secure Sockets Layer) yang
ditandai dengan HTTPS pada Web Login Transaksi online yang anda gunakan untuk berbelanja.

Jangan sembarangan menyimpan File Scan kartu kredit anda sembarangan , termasuk
menyimpannya di flashdisk dan dalam email anda.

Kasus Penipuan di Lazada, Uang Jutaan Melayang.

Jakarta - Kasus penipuan saat belanja online terjadi lagi. Kali ini dialami pengguna
Lazada, uang jutaan rupiah pun melayang.

Kejadian tersebut dialami pasangan suami istri Steven dan Andrea. Lantaran baru
menempati rumah baru, mereka ingin mengisi dengan perangkat rumah tangga.

Lantaran kerap di-bombardir iklan diskonan, keduanya pun memilih beli perangkat yang
dibutuhkan di Lazada awal Mei lalu.

"Kita belanja banyak barang rumah tangga, salah satunya vacuum cleaner. Total belanja
Rp 4,8 jutaan," cerita Andrea saat dihubungi detikINET.
 Setelah proses membayar selesai, Steven mengaku ditelpon seseorang yang mengaku dari
Lazada. Dia diminta untuk melakukan konfirmasi terkait pengiriman barang.

"Dia bilang karena produk diskon dibutuhkan konfirmasi lagi, benar atau tidak," kata
Steven.

Dia kemudian dikirimkan link di bagian chat dengan penjual. Tanpa curiga, Steven
mengklik link tersebut.

Tak berapa lama, sang penjual menginformasikan adanya pembatalan massal dari Lazada
dan menanyakan soal OTP. Di sinilah kecurigaan Steven timbul, mekin kuat setelah melihat
alasan pembatalan karena pembeli berubah pikiran dan ada permintaan refund ke nomor
rekening yang tidak dikenal.

Steven pun langsung melapor ke Lazada setengah jam setelah transaksi. Sayangnya
meski ditanggapi oleh bagian customer service dan dijanjikan investigasi, dua bulan berlalu tidak
ada solusi.

"Kami malah mendapat email refund telah telah terjadi, tapi nggak tau ke rekening mana.
Setidaknya dari sana kita bisa lacak agar pihak kepolisian mengungkap," ujar Steven kesal.

"Pas ditanya nomor rekening refund nggak pernah jawab. Malah dapat pesan kejadian ini
menjadi pelajaran buat kami," timpal Andrea geram.

Akhirnya pasangan suami istri ini melaporkan kejadian ke pihak kepolisian. Keduanya
berharap kasus penipuannya dapat diusut tuntas.

"Untuk berharap uang kembali sih masih fifty-fifty-kan. Saya sih berharapnya orang-
orang lebih aware kalau belanja online di sini. Lazada pun jangan tutup mata dengan kasus
seperti ini, karena complain kami selalu disepelein," tutur Andrea.

Forum Korban Penipuan

Usai membuat laporan, Steven dan Andrea mendapatkan fakta mengejutkan. Ternyata
banyak korban lain yang mengalami kasus serupa.

Kagetnya lagi ternyata banyak forum dan komunitas korban penipuan di Lazada. Steven
dan Andrea pun saling bertukar pikiran tentang kasus masing-masing.
 "Ada yang cerita beli mesin obras dan mesin jahit, karena yang dia punya rusak. Malah
tertipu, jadi dia tidak bisa menjahit lagi padahal penghasilannya dari situ. Akhirnya dia membuat
forum itu (korban penipuan Lazada)," ungkap Andrea.

"Kasian juga orang-orang (korban) diginiin terus. Ceritanya lumayan mirip, ada yang di
luar daerah dan uangnya melayang tidak kembali," tambah Steven.

Saat ini detikINET telah menghubungi pihak Lazada untuk dimintai respon terkait
masalah penipuan di platform mereka ini.

Daftar Pustaka

https://www.cissrec.org/news/detail/841/Begini-Analisis-Kebocoran-Data-di-Lazada-dan-
Cermati.html

https://www.merdeka.com/teknologi/kasus-order-fiktif-lazada-sebesar-22-juta-ini-
kronologisnya.html

http://denitugasakhir.blogspot.com/2017/05/karyawan-starbucks-tebet-bajak-ratusan.html

https://inet.detik.com/security/d-5078857/cerita-korban-penipuan-di-lazada-uang-jutaan-
melayang?single=1