TEMPO.CO, Jakarta - Seorang peretas mengklaim telah memperoleh data pribadi 48,5 juta pengguna aplikasi seluler kode kesehatan Covid yang dijalankan oleh kota Shanghai. Ini merupakan pembobolan informasi pribadi kedua di China dalam waktu sebulan.
Peretas dengan nama pengguna sebagai "XJP" memposting tawaran untuk menjual data seharga $ 4.000 atau Rp58,7 juta di forum peretas Breach Forums pada Rabu, 10 Agustus 2022.
Peretas memberikan sampel data termasuk nomor telepon, nama dan nomor identifikasi, serta status kode kesehatan 47 orang.
Sebelas dari 47 orang yang dihubungi Reuters mengkonfirmasi bahwa data mereka masul dalam contoh itu, meskipun dua orang mengatakan nomor identifikasi mereka salah.
"DB (database) ini berisi semua orang yang tinggal atau mengunjungi Shanghai sejak adopsi Suishenma," kata XJP dalam unggahan tersebut, yang awalnya meminta $4.850 sebelum menurunkannya.
Suishenma adalah nama China untuk sistem kode kesehatan Shanghai, yang dibuat oleh kota berpenduduk 25 juta orang, seperti banyak kota di seluruh China, pada awal 2020 untuk memerangi penyebaran Covid-19. Semua penghuni dan pengunjung harus menggunakannya.
Aplikasi mengumpulkan data perjalanan untuk memberi orang peringkat merah, kuning, atau hijau yang menunjukkan kemungkinan terjangkit virus dan pengguna harus menunjukkan kode untuk memasuki tempat umum.
Data dikelola oleh pemerintah kota dan pengguna mengakses Suishenma melalui aplikasi Alipay, yang dimiliki oleh raksasa fintech dan afiliasi Alibaba, Ant Group, dan aplikasi WeChat dari Tencent Holdings.
XJP, pemerintah Shanghai, Ant dan Tencent tidak segera menanggapi permintaan komentar.
Pelanggaran Suishenma ini terjadi setelah seorang peretas awal bulan lalu mengatakan memperoleh 23 terabyte informasi pribadi milik satu miliar warga China dari polisi Shanghai.
Peretas itu juga menawarkan untuk menjual data di Forum Pelanggaran.
The Wall Street Journal, mengutip peneliti keamanan siber, mengatakan peretas pertama berhasil mencuri data dari polisi karena dasbor untuk mengelola basis data polisi dibiarkan terbuka di internet publik tanpa perlindungan kata sandi selama lebih dari setahun.
Surat kabar itu mengatakan Alibaba dan otoritas Shanghai telah memanggil eksekutif perusahaan atas masalah tersebut.
Baik pemerintah Shanghai, polisi maupun Alibaba belum memberikan konfirmasi atas klaim peretas itu.
Reuters