Polda Metro Jaya mengungkap kasus akses ilegal data pribadi di perusahaan jasa ekspedisi Ninja Xpress. Data pelanggan yang dicuri digunakan untuk penipuan pengiriman barang dengan sistem COD (Cash On Delivery).
Kejahatan ini berlangsung dari Desember 2024 hingga Januari 2025. Tiga tersangka telah ditetapkan, dua di antaranya telah ditangkap, sementara satu tersangka lainnya masih buron.
Wakil Direktur Reserse Siber Polda Metro Jaya, AKBP Fian Yunus, menyatakan, “Ada tiga orang, yaitu berinisial T dan MFB, sedangkan tersangka G masih berstatus DPO [daftar pencarian orang].” Tersangka T ditangkap di Bandung dan MFB di Cirebon pada 5 Mei 2025.
Kronologi Kasus Akses Ilegal Data Ninja Xpress
Sekitar 100 pelanggan Ninja Xpress mengajukan komplain terkait pembelian barang online melalui TikTok dengan metode pembayaran COD. Pembelian ini menggunakan jasa pengiriman Ninja Xpress.
Manajemen Ninja Xpress melakukan audit dan menemukan 294 pengiriman COD selesai lebih cepat dari waktu standar tujuh hari. Hal ini mengindikasikan adanya penyalahgunaan akses sistem internal.
Penyidik menemukan bahwa oknum karyawan Ninja Xpress di Lengkong, Bandung, telah menyalahgunakan akses ke sistem OpV2. Sistem ini seharusnya melindungi data pelanggan, termasuk nama, alamat, nomor telepon, dan detail pesanan.
Oknum karyawan tersebut melakukan ‘unmasking’ atau membuka data pelanggan yang seharusnya terlindungi. Data-data sensitif ini kemudian dijual kepada pihak luar.
Para pelaku penipuan menggunakan data tersebut untuk mengirimkan paket palsu kepada pelanggan dan menerima pembayaran COD, meliputi ongkos kirim dan harga barang.
Sistem Keamanan Ninja Xpress dan Celah Keamanannya
Ninja Xpress menggunakan sistem OpV2 dengan resi NJVT (kode rahasia) untuk melindungi informasi pengiriman. Namun, celah keamanan dalam sistem memungkinkan akses ilegal oleh oknum karyawan yang tidak bertanggung jawab.
Perusahaan perlu melakukan evaluasi menyeluruh terhadap sistem keamanan data pelanggannya. Peningkatan protokol keamanan dan pelatihan karyawan terkait perlindungan data menjadi sangat penting untuk mencegah kejadian serupa di masa mendatang.
Kasus ini menyoroti pentingnya perlindungan data pribadi dalam era digital. Perusahaan harus proaktif dalam mengamankan data pelanggan dan mengambil langkah-langkah yang diperlukan untuk mencegah penyalahgunaan data.
Tindakan Hukum Terhadap Tersangka
Para tersangka dijerat dengan Pasal 46 juncto Pasal 30 UU ITE atau Pasal 48 juncto Pasal 32 UU ITE, dengan ancaman hukuman penjara maksimal delapan tahun dan denda maksimal Rp2 miliar.
Kasus ini menjadi peringatan bagi perusahaan-perusahaan lain untuk meningkatkan keamanan sistem mereka dan melindungi data pelanggan mereka. Kerugian finansial dan reputasi yang diakibatkan oleh kejahatan siber seperti ini sangat besar.
Polda Metro Jaya berharap kasus ini dapat memberikan efek jera bagi pelaku kejahatan siber dan meningkatkan kesadaran masyarakat akan pentingnya perlindungan data pribadi.
Kesimpulan: Kasus ini menunjukkan betapa pentingnya keamanan data dan perlunya pengawasan ketat terhadap karyawan yang memiliki akses ke informasi sensitif. Perusahaan harus memprioritaskan investasi dalam sistem keamanan yang kuat dan pelatihan karyawan yang memadai. Penegakan hukum yang tegas juga diperlukan untuk memberikan efek jera bagi para pelaku kejahatan siber.
