Itu membaikKoresponden Cyber, BBC World Service
BBCPelanggaran data menjadi begitu umum sehingga sulit mengetahui bagaimana harus bereaksi ketika hal itu terjadi pada Anda. Seringkali lebih mudah untuk mematikannya, namun ada risikonya.
Menjadi korban pelanggaran data meningkatkan peluang Anda menjadi sasaran penjahat dan penipu.
Sue menceritakan kepada BBC bagaimana para penipu menguntitnya. Kami mengetahui bahwa rinciannya bocor secara online.
Dia adalah korban dari apa yang dikenal sebagai serangan pertukaran SIM – di mana penipu mengelabui operator jaringan agar mengira mereka adalah pemegang akun untuk mendapatkan kartu SIM baru untuk perangkat seluler.
Mereka menggunakannya untuk mengambil alih hampir semua akun daringnya melalui teleponnya. Dia mengatakan pengalaman itu “mengerikan”.
“Para penipu mengambil alih akun Gmail saya dan kemudian mengunci saya dari rekening bank saya karena gagal dalam pemeriksaan keamanan,” katanya.
Sue juga membuka kartu kredit atas namanya dan para pelaku membeli voucher senilai lebih dari £3.000.
Dia melakukan beberapa kunjungan ke cabang bank dan penyedia telepon selulernya untuk mengambil kembali rekeningnya.
Dan pencurinya belum selesai.
“Para penjahat juga melakukan hal yang mengerikan setelah meretas WhatsApp saya,” katanya. “Mereka mengirimkan pesan kepada para penunggang kuda, memperingatkan bahwa ada orang-orang yang sedang dalam perjalanan untuk menikam kuda-kuda tersebut.”
Untuk mengetahui apakah detail Sue telah dibobol sebelumnya, kami mencari database peretas menggunakan alat online seperti hasibeenpwned.com dan Constella Intelligence.
Nomor telepon, alamat email, tanggal lahir, dan alamat fisiknya semuanya terungkap dalam pelanggaran data di platform perjudian PediPower pada tahun 2010 dan alat verifikasi email Verifications.io pada tahun 2019. Kompilasi catatan lain yang diretas juga berisi detailnya.
Hannah Baumgartner dari perusahaan cyber Silobreaker mengatakan para penyerang kemungkinan besar menggunakan data pribadi yang bocor dalam pelanggaran sebelumnya untuk melakukan serangan pertukaran SIM.
“Setelah mereka memiliki akses ke nomor telepon Sue, mereka dapat mencegat kode keamanan apa pun yang dikirimkan ke akun Gmailnya untuk memverifikasi identitasnya,” katanya.
Netflix dibajak
Namun penipu tidak selalu menargetkan pembayaran besar.
Fran dari Brazil mengatakan kepada BBC bahwa dia menemukan seorang pengguna telah mendaftar ke akun Netflix-nya – dan telah memperpanjang langganan bulanannya.
“Saya ditagih $9,90 (£7,50) pada kartu pembayaran saya, meskipun saya tidak melakukan pembelian,” katanya.
“Saya segera menghubungi keluarga saya untuk mencari tahu apakah ada yang menambahkan profil lain ke akun yang kami bagikan, tetapi mereka semua mengatakan tidak.”
Fran adalah korban penipuan umum dimana akun Netflix-nya dibajak oleh seorang freeloader.
Tidak diketahui secara pasti bagaimana mereka bisa masuk ke akunnya dan dunia kejahatan dunia maya yang kompleks membuat sulit untuk menentukan apakah seseorang telah ditipu oleh satu pelanggaran data.
Namun kami mengetahui bahwa alamat email French terungkap dalam setidaknya empat pelanggaran data, termasuk peretasan situs web Internet Archive (2024), Trelove (2024), Descomplica (2021), dan Wattpad (2020). hasibeenpwned.com.
Kata sandi yang dia gunakan untuk akun Netflix-nya tidak ada dalam database yang diketahui publik, tetapi mungkin ada di database lain.
“Ada pasar yang besar untuk akun Netflix, Disney, dan Spotify yang diretas,” kata Alon Gale, salah satu pendiri perusahaan keamanan siber Hudson Rock.
“Ini adalah titik masuk yang mudah bagi kejahatan dunia maya, yang mengubah kebocoran data perusahaan menjadi penyalahgunaan yang meluas dan berkelanjutan.”
Batu HudsonPenipu sering kali menggabungkan informasi pribadi yang dicuri dengan informasi publik.
Leah, yang tidak mau menyebutkan nama aslinya, menjalankan bisnis kecil-kecilan menggunakan iklan Facebook dan baru-baru ini menjadi sasaran penipuan jangka panjang yang dimulai di Vietnam.
“Saya menerima email phishing dari ‘notifications@facebookmail.com’ yang mengatakan bahwa saya telah mendapatkan pengembalian dana. Saya mengeklik tautan tersebut dan memasukkan detail saya di halaman meta palsu dan para penipu dapat mengambil alih akun bisnis saya meskipun saya memiliki autentikasi 2 faktor.
“Mereka kemudian memposting video pelecehan seksual terhadap anak-anak atas nama saya yang membuat saya diblokir. Juga dilarang mengadu ke Meta karena menggunakan Messenger.”
Dalam tiga hari yang dibutuhkan Leah untuk mendapatkan kembali akun bisnisnya, para penipu telah memasang iklan senilai ratusan pound yang telah dia bayar. Akhirnya dia mendapatkan uangnya kembali.
Alberto Casares dari Constella Intelligence mencari database peretas dan menemukan bahwa alamat email Leah dan detail lainnya diambil dalam pelanggaran data di Gravatar (2020) dan Qantas tahun ini (pelanggaran pihak ketiga).
“Tampaknya para penyerang menggunakan teknik umum dengan menghubungkan alamat email pribadi Leah yang dicuri ke nomor bisnisnya yang terdaftar secara publik untuk meluncurkan serangan phishing yang ditargetkan terhadap akun email tersebut.”
Mereka mengatakan mereka bisa melakukannya sendiri atau menggunakan broker data untuk membayar beberapa target potensial.
Pelanggaran data besar
Pelanggaran data berskala besar memicu penipuan dan peretasan sekunder di seluruh dunia, dengan beberapa serangan tingkat tinggi terjadi pada tahun 2025 saja.
Menurut Data Breach Observatory milik Proton Mail, sejauh ini terdapat 794 pelanggaran terverifikasi dari sumber yang dapat diidentifikasi pada tahun 2025 dengan lebih dari 300 juta catatan individu terekspos.
“Penjahat membayar harga mahal untuk data yang dicuri karena data tersebut terus menghasilkan keuntungan melalui penipuan, pemerasan, dan serangan dunia maya,” kata Eamonn Maguire dari perusahaan tersebut.
Selain memberi tahu pelanggan dan regulator tentang pelanggaran, tidak ada aturan tegas mengenai apa yang harus dilakukan perusahaan terhadap para korban.
Misalnya, menawarkan pemantauan kredit gratis adalah hal yang umum.
Tahun lalu, Ticketmaster (yang menyebabkan 500 juta orang terkena dampak pelanggaran ini) menawarkan hal ini kepada beberapa orang.
Namun hanya sedikit perusahaan yang melakukan hal serupa tahun ini. Misalnya, Marks and Spencer dan Qantas tidak menawarkan layanan ini kepada pelanggan.
Koperasi memilih untuk memberikan voucher senilai £10 kepada para korban – jika mereka membelanjakan £40 di toko mereka.
Beberapa orang mencoba mencari kompensasi di pengadilan, dengan tren tuntutan hukum class action yang semakin meningkat – meskipun hal ini lebih sulit untuk dimenangkan karena sulit untuk membuktikan bagaimana individu terkena dampaknya.
Namun ada pula yang berhasil.
T-Mobile telah mulai membayar pelanggan yang terkena dampak pelanggaran data besar-besaran pada tahun 2021 yang mempengaruhi 76 juta pelanggan.
Perusahaan tersebut setuju untuk membayar $350 juta – dengan pembayaran dilaporkan berkisar antara $50 hingga $300.
Dapatkan buletin andalan kami dengan semua berita utama yang Anda perlukan untuk memulai hari. Daftar di sini.
