Startup big data di Hamburg, Kreditech, menjadi korban pencurian data. Data pribadi beberapa ribu pengguna dicuri. Kejadian tersebut terjadi pada musim panas tahun 2014, kebocorannya sudah lama dihentikan – namun datanya masih dapat ditemukan di server di deep web. Kreditech tidak pernah mempublikasikan kejadian tersebut.
Kecelakaan
Baik perusahaan maupun polisi Hamburg mengonfirmasi pencurian data tersebut kepada Gründerszene. “Memang benar bahwa sejumlah data sensitif, seperti pindaian dokumen identifikasi atau alamat email calon pelanggan Kreditech, dicuri oleh orang tak dikenal,” kata juru bicara kepolisian.
“Ada satu kejadian keamanan internal pada musim panas 2014,” kata juru bicara Kreditech. “Kami segera memberi tahu LKA dan melakukan pengujian oleh para ahli internal dan eksternal yang memastikan bahwa tidak ada akses eksternal ke sistem Kreditech yang dimungkinkan.”
Polisi kembali: “‘Kebocoran data’ yang ditemukan saat itu segera ditutup. Ini adalah proses satu kali. Beberapa dari data ini, yang sudah ketinggalan zaman, telah diposting di Internet. Mitra bisnis yang terkena dampak telah diberi informasi secara proaktif.”
Kreditech menekankan bahwa data tersebut tidak berasal dari serangan dunia maya – melainkan pelaku pasti mendapatkan akses ke sistem cache situs web dari dalam. Menurut Kreditech, data tersebut berasal dari cache ini. Perusahaan menekankan bahwa database pelanggan sebenarnya tidak terpengaruh.
Oleh karena itu, orang tersebut harus memiliki hak akses reguler ke cache. Karyawan yang tidak puas? Bisa dibayangkan, Sebastian Diemer, CEO Kreditech, tidak hanya berteman dengan kalangan dunia kerja dengan gaya kepemimpinannya. Karyawan berulang kali memperhatikan suasana hati yang buruk di perusahaan.
Sejak kejadian tersebut, referensi ke kumpulan data tersebut telah muncul beberapa kali di Twitter, dengan tautan ke sebagian kecil data tersebut. Pada pertengahan Februari, lusinan bot Twitter meliput jejaring sosial tersebut dengan merujuk pada dugaan peretasan di Kreditech. Dari sinilah dunia startup juga menyadari hal ini.
Bot Twitter tertaut ke situs web klan gamer Frisian Timur, tempat beberapa data disimpan – tampaknya tanpa sepengetahuan operator situs web. Ada juga dokumen yang menurut Kreditech merupakan klaim palsu bahwa perusahaan tersebut telah diretas – dan tautan ke server jaringan anonimisasi Tor, tempat seluruh database disimpan. Setelah beberapa hari, materi tersebut menghilang dari situs gamer, dan pesan Twitter juga tampaknya telah dihapus.
Namun, tampaknya tidak ada cara legal atau teknologi untuk menghapus data dari server Tor. Karena masih bisa diakses.
Data
Kumpulan data dibagi menjadi tiga area: beberapa gigabyte file log, kemudian beberapa ribu penawaran individu untuk perjanjian pinjaman, serta lebih dari 2.000 pindaian dan foto dokumen identitas. Ini termasuk data pribadi yang sensitif: alamat email, nama asli, tanggal lahir, nomor telepon, rincian ID.
Menurut polisi, data tersebut milik calon pelanggan Kreditech. Artinya: Ini adalah pengguna yang meminta pinjaman dari anak perusahaan Kreditech di luar negeri, namun belum tentu membuat perjanjian pinjaman. “Jadi kita berbicara tentang data aplikasi sementara, bukan akun pelanggan,” kata juru bicara Kreditech.
- File log adalah log peristiwa: Mereka mencatat bagaimana pengguna berinteraksi dengan sistem. Sebagian besar file adalah sampah yang tidak berguna. Tetapi bahkan orang awam pun tidak memerlukan banyak waktu untuk menyaring informasi berguna dari tumpukan data beberapa gigabyte: Nama yang jelas tentang dan terkait Alamat email atau Nomor telepon. Kata sandi tampaknya tidak terpengaruh. Data berasal dari Australia, Republik Ceko, Spanyol, Meksiko, Peru, Rusia, Polandia – hampir seluruh negara tersebut merupakan tempat Kreditech dan anak perusahaannya aktif pada tahun 2014.
- Beberapa ribu dokumen PDF yang ditulis dalam bahasa Cyrillic di mana anak perusahaan Kreditech Rusia, Zaimo, mengajukan penawaran kepada pengguna yang berminat untuk membuat perjanjian pinjaman diyakini berasal secara eksklusif dari Rusia. Ini rupanya merupakan bentuk standar yang hanya berbeda di beberapa tempat saja – yaitu di mana informasi pribadi ditulis. Dokumen-dokumen itu disertakan Nama yang jelaspara rekanan Tanggal lahir Dan Nomor paspor serta yang diminta Jumlah kredit dengan disajikan suku bunga Dan Kerangka pembayaran.
- Lebih dari 2.000 pindaian dan foto dokumen identifikasi mungkin berfungsi sebagai bukti identitas. Ini sebagian besar adalah kartu identitas, tetapi juga mencakup surat izin mengemudi dan laporan bank. Hampir semua dokumen berasal dari Spanyol, dimana Kreditech hadir bersama anak perusahaannya Kredito24. Di kartu identitas Nama pertama dan terakhir, Tanggal dan Tempat Lahir, Alamat rumah sebaik Nomor dan tanggal kadaluarsa dokumen.
Ulasannya
Seberapa buruk pencurian data? Polisi sedang membicarakan satu hal jumlah terbatas data – sulit untuk mengatakan apa pun tentang hal itu. Jumlah berapa pun terbatas. Apakah datanya berjumlah besar? Di antara banyak informasi yang tersedia serangan hacker yang spektakuler tertangkap, rampasan dalam kasus Kreditech benar-benar tidak ada bandingannya. Namun demikian, setidaknya empat digit jumlah pengguna terkena dampaknya.
Polisi mengatakan tanggalnya adalah hari ini ketinggalan jaman. Faktanya, beberapa alamat email mungkin telah dicabut pendaftarannya dan beberapa kartu identitas sudah habis masa berlakunya, enam bulan setelah kejadian tersebut. Namun pengambilan sampel secara acak dengan cepat menunjukkan bahwa sebagian besar dokumen masih valid – dan alamat email masih berfungsi.
Itu datanya peka polisi juga mengakui. Pakar keamanan TI Sandro Gaycken dari Sekolah Manajemen dan Teknologi Eropa di Berlin mengamati data untuk Gründerszene. “Bagi saya, ini tampak seperti data sensitif,” kata Gaycken, “tetapi tidak terlalu sensitif.” Banyak model penipuan yang bisa digunakan, terutama dengan scan KTP.”
Yang terkena dampak
Menurut polisi, “mitra bisnis yang terkena dampak” secara proaktif diberitahu tentang insiden tersebut. Saat ditanya, juru bicara kepolisian membenarkan bahwa yang dimaksud adalah penggunanya. Namun Kreditech belum mau menjawab pertanyaan berapa banyak pengguna yang mendapat informasi, kapan dan melalui cara apa. Hal ini dikatakan akan membahayakan penyelidikan yang sedang berlangsung.
Gründerszene secara acak memilih selusin alamat email pengguna yang terkena dampak dan menulis surat kepada mereka. Apakah mereka mendapat informasi tentang pencurian data dan bahwa informasi pribadi tentang mereka dapat diperoleh secara online? Dua pengguna dari Australia telah kembali. Jawabannya: Tidak, mereka tidak pernah mendengar apa pun.
Belum ada pengumuman publik dari Kreditech sejak kejadian tersebut.
Investigasi
Setelah mengetahui adanya pencurian data tersebut, Kreditech menyatakan pihaknya segera memberi tahu Badan Reserse Kriminal Negara. Investigasi kriminal oleh LKA dan jaksa penuntut umum Hamburg atas masalah ini masih berlangsung – oleh karena itu “tidak ada rincian mengenai status penyelidikan yang dapat diungkapkan saat ini,” menurut polisi. Yang diakui penyidik: Belum ada tersangka.
Setelahnya
Sejumlah pertanyaan juga masih belum terjawab tentang apa yang terjadi sejak data tersebut dicuri. Misalnya: Apakah “pencuri data” dan orang yang mengunggah data pilihan di situs web yang biasanya dapat diakses adalah orang yang sama?
Dan: Bagaimana orang terakhir menerima surat dari Kreditech? Pasalnya di halaman Gamer Clan tersebut juga terdapat file pada bulan Februari yang berbunyi seperti surat resmi dari pengacara Kreditech. Teks tersebut meminta penerima yang tidak dikenal untuk menghapus konten tertentu (data?) dari Internet. Hal ini juga menyoroti bahwa klaim bahwa Kreditech diretas adalah salah. Pengadilan regional di Cologne juga mengkonfirmasi hal ini dalam perintah sementara.
Polisi dan pihak perusahaan membenarkan adanya perselisihan perdata dalam konteks ini. Menurut juru bicara Kreditech, penerima perintah sementara tersebut adalah jejaring sosial Twitter, “untuk menghindari penyebaran tuduhan palsu”.
Polisi juga mengatakan: “Temuan kasus perdata ini belum menghasilkan bukti yang tegas mengenai pelaku terkait dengan proses pidana.”
Satu hal yang pasti: Kreditech tampaknya sangat takut akan kerusakan reputasi akibat “peretasan”. Perusahaan yang bermarkas di Hamburg ini berulang kali mengambil tindakan terhadap klaim bahwa perusahaannya telah diretas. Seorang pengguna Twitter yang melontarkan usulan serupa dalam cuitan beberapa waktu lalu dan mengaitkan data tersebut langsung mendapat pesan dari tim kuasa hukum Twitter. Karena “dugaan sifat pencemaran nama baik” dari tweet tersebut, tweet tersebut harus segera dihapus. Jika tidak, Twitter akan terpaksa “melakukan sesuatu terhadap akun tersebut”. Kreditech menjelaskan kepada Gründerszene: “Jika perlu, tindakan hukum perdata lebih lanjut akan diambil.”