13 Juni 2022
PETALING JAYA: Keamanan dunia maya di negara ini kembali menjadi sorotan karena data pribadi warga Malaysia dilaporkan dijual secara terbuka di internet seharga beberapa ringgit.
Keberadaan website yang disorot oleh pengguna Twitter @Radz1112 memungkinkan seseorang dicari berdasarkan nama, alamat, nomor telepon, MyKad atau ID militer atau tanggal lahir.
Mencari seseorang melalui nomor MyKad, misalnya, akan mengungkapkan nama lengkap orang tersebut, tanggal lahir, jenis kelamin dan alamat rumah, klaim @Radz1112, yang tidak ingin disebutkan namanya.
Informasi lebih detail, termasuk informasi vaksinasi MySejahtera, pinjaman dan pengajuan kartu kredit, tersembunyi di balik paywall.
“Alat OSINT (kecerdasan sumber terbuka) adalah hal yang umum dan menampilkan informasi yang mudah diakses seperti media sosial seseorang, tetapi ini adalah satu dari sedikit kasus di mana saya melihat kebocoran basis data spesifik negara dikumpulkan di satu tempat,” kata @Radz1112.
Dia mengatakan situs tersebut ditemukan melalui pencarian Google dan datanya mungkin jatuh ke tangan orang-orang yang dapat mengeksploitasinya untuk keuntungan finansial atau tujuan jahat.
“Mengingat beberapa informasi bersifat berbayar, Anda masih dapat melakukan kerugian jika Anda memiliki akses terhadap informasi yang benar,” katanya.
Investigasi di situs tersebut menemukan bahwa selain data umum seperti nomor identifikasi dan alamat, pengguna juga bisa mendapatkan informasi antara lain berdasarkan pelat nomor mobil dan Companies Commission of Malaysia (SSM).
Isinya juga informasi yang diyakini berasal dari lembaga seperti Komisi Pemilihan Umum, yang dapat diperoleh hanya dengan sekitar R20.
Mereka yang ingin menghapus datanya dari database harus membayar R436.
Departemen Perlindungan Data Pribadi Malaysia (PDPD) mengatakan pihaknya telah meminta agar situs tersebut diblokir.
“Situs web ini tidak lagi dapat diakses,” kata seorang juru bicara ketika ditanya tadi malam.
Komisi Komunikasi dan Multimedia Malaysia (MCMC) menyatakan pihaknya memberikan bantuan teknis dalam menerima permintaan dari PDPD.
Ketua perusahaan keamanan siber LGMS Bhd dan konsultan keamanan siber Fong Choong Fook, yang menganalisis situs tersebut, mengatakan kemungkinan besar situs tersebut dibuat oleh warga Malaysia atau orang-orang yang
akrab dengan pasar lokal.
“Data tersebut khusus untuk Malaysia dan terdapat halaman untuk menginformasikan kepada pengguna cara membeli bitcoin secara lokal untuk mengakses informasi lebih lanjut,” ujarnya.
Dia mengatakan situs web itu mungkin baru dibuat bulan ini dan mengenakan biaya hanya 50 sen (RM2,20) untuk nomor ponsel seseorang.
Ia juga memiliki tiga paket lain yang menawarkan tingkat akses berbeda.
“Meskipun situs tersebut diberi label sebagai alat OSINT, sebenarnya itu adalah situs bajakan yang dibuat menggunakan informasi curian,” katanya.
Sebelumnya, domain yang sama digunakan untuk menghosting situs web lain.
Analis intrusi Adnan Mohd Shukor percaya bahwa data tersebut mungkin berasal dari informasi yang tersedia untuk umum, API pihak ketiga (antarmuka pemrograman aplikasi), dan mungkin dari kebocoran data di masa lalu.
Dia mengatakan rekan-rekannya di bidang keamanan siber merasa hal ini mengkhawatirkan karena situs tersebut mengkorelasikan data dan meletakkan semuanya di satu situs, sehingga memungkinkan pelaku kejahatan dengan mudah memperoleh informasi pribadi dari orang lain.