Polda Metro Jaya mengungkap kasus akses ilegal data pribadi di perusahaan jasa ekspedisi Ninja Xpress. Data pelanggan yang dicuri digunakan untuk penipuan dengan modus pengiriman barang dan pembayaran di tempat (COD).
Kejahatan siber ini berlangsung dari Desember 2024 hingga Januari 2025. Tiga tersangka telah ditetapkan, dua telah ditangkap dan satu masih buron. Tersangka T ditangkap di Bandung dan MFB di Cirebon. Wakil Direktur Reserse Siber Polda Metro Jaya, AKBP Fian Yunus, mengumumkan penangkapan ini dalam konferensi pers pada Jumat, 11 Juli.
Kasus ini terungkap berawal dari sekitar 100 komplain pelanggan terkait pembelian online melalui aplikasi TikTok. Barang-barang tersebut dikirim melalui Ninja Xpress dengan metode pembayaran COD.
Audit internal Ninja Xpress menemukan 294 pengiriman COD yang selesai lebih cepat dari waktu standar tujuh hari. Penyelidikan mengungkap adanya penyalahgunaan akses oleh karyawan internal di kantor Lengkong, Bandung.
Oknum karyawan tersebut diduga melakukan ‘unmasking’ data pelanggan yang seharusnya terlindungi dalam sistem OpV2 Ninja Xpress. Data yang dicuri termasuk nama, jumlah pesanan, jenis barang, alamat, nomor telepon, dan biaya COD.
Data tersebut kemudian dijual ke pihak lain yang menggunakannya untuk melakukan penipuan. Pelaku mengirimkan paket palsu kepada pelanggan dan menerima pembayaran COD. Kerugian yang dialami para korban masih dalam tahap penghitungan dan penyelidikan lebih lanjut.
Kronologi Kasus Pencurian Data Ninja Xpress
Sekitar 100 pelanggan Ninja Xpress mengajukan komplain terkait pembelian online melalui TikTok dengan metode pembayaran COD. Pihak Ninja Xpress kemudian melakukan audit internal untuk menyelidiki lebih lanjut.
Hasil audit menunjukkan adanya penyimpangan pada 294 pengiriman COD yang diselesaikan lebih cepat dari waktu standar tujuh hari. Diduga kuat terdapat kebocoran data pelanggan yang dilakukan oleh oknum karyawan di kantor Bandung.
Investigasi lebih lanjut mengungkap bahwa oknum karyawan tersebut memanfaatkan celah keamanan sistem OpV2 Ninja Xpress untuk mengakses dan mencuri data pelanggan. Sistem OpV2 seharusnya melindungi data-data sensitif tersebut.
Data pelanggan yang dicuri kemudian dijual kepada pihak lain yang melakukan penipuan dengan mengirimkan paket palsu kepada korban dan menerima pembayaran COD. Ini menunjukkan adanya jaringan kejahatan siber yang terorganisir.
Proses penyelidikan masih terus berlanjut untuk mengungkap kemungkinan keterlibatan pihak lain dan menghitung total kerugian yang diderita para korban. Polda Metro Jaya berkomitmen untuk menuntaskan kasus ini dan menjerat semua pihak yang terlibat.
Tersangka dan Pasal yang Diterapkan
Tiga orang telah ditetapkan sebagai tersangka dalam kasus ini. Dua tersangka, berinisial T dan MFB, telah ditangkap, sementara tersangka G masih buron (DPO).
Para tersangka dijerat dengan Pasal 46 juncto Pasal 30 UU ITE atau Pasal 48 juncto Pasal 32 UU ITE. Ancaman hukumannya adalah penjara maksimal delapan tahun dan denda maksimal Rp2 miliar.
Penangkapan ini menunjukkan komitmen aparat penegak hukum dalam memberantas kejahatan siber. Kasus ini juga menjadi pengingat pentingnya keamanan data bagi perusahaan, terutama perusahaan yang mengelola data pribadi pelanggan.
Perusahaan perlu melakukan audit keamanan secara berkala dan meningkatkan sistem proteksi data untuk mencegah kejadian serupa di masa depan. Peningkatan kesadaran masyarakat terkait keamanan data pribadi juga sangat penting.
Kasus ini diharapkan menjadi pelajaran berharga bagi semua pihak. Baik perusahaan maupun individu perlu meningkatkan kewaspadaan dan mengambil langkah-langkah pencegahan untuk melindungi data pribadi dari kejahatan siber.
Informasi lebih lanjut terkait perkembangan kasus ini akan terus diupdate oleh pihak berwajib.
