REPUBLIKA.CO.ID, BEIJING -- Seorang peretas mengklaim telah memperoleh informasi pribadi 48,5 juta pengguna aplikasi seluler kesehatan Covid yang dijalankan oleh kota Shanghai. Klaim ini menjadi yang kedua kali atas pelanggaran data pusat keuangan China hanya dalam waktu lebih dari sebulan.
Peretas dengan nama pengguna "XJP" mengunggah tawaran untuk menjual data seharga 4.000 dolar AS di forum peretas Breach Forums pada Rabu (10/8/2022). Peretas memberikan sampel data termasuk nomor telepon, nama, nomor kartu identifikasi, dan status kode kesehatan sebanyak 47 orang. Sebelas dari 47 orang yang dihubungi Reuters mengonfirmasi bahwa terdaftar dalam sampel, meskipun dua mengatakan nomor identifikasi mereka salah.
"DB (database) ini berisi semua orang yang tinggal atau mengunjungi Shanghai sejak adopsi Suishenma," kata XJP dalam unggahan yang awalnya meminta 4.850 dolar AS sebelum menurunkan harga di kemudian hari.
Suishenma adalah istilah yang digunakan China untuk sistem kode kesehatan di Shanghai. Pengkodean ini banyak diterapkan di seluruh China pada awal 2020 untuk memerangi penyebaran Covid-19. Semua penghuni dan pengunjung harus menggunakannya.
Aplikasi mengumpulkan data perjalanan untuk memberi orang peringkat merah, kuning, atau hijau yang menunjukkan kemungkinan terjangkit virus corona. Pengguna harus menunjukkan kode untuk memasuki tempat umum. Data dikelola oleh pemerintah kota dan pengguna mengakses Suishenma melalui aplikasi Alipay yang dimiliki oleh raksasa fintech dan afiliasi Alibaba, Ant Group, dan aplikasi WeChat dari Tencent Holdings.
Pelanggaran Suishenma yang diklaim terjadi setelah seorang peretas awal bulan lalu mengatakan telah memperoleh 23 terabyte informasi pribadi milik satu miliar warga China dari polisi Shanghai. Peretas itu juga menawarkan untuk menjual data di Breach Forums.
Laporan Wall Street Journal yang mengutip peneliti keamanan siber mengatakan, peretas pertama berhasil mencuri data dari polisi karena dashboard untuk mengelola basis data polisi dibiarkan terbuka di internet publik tanpa perlindungan kata sandi selama lebih dari setahun. Data host di platform cloud Alibaba dan otoritas Shanghai telah memanggil eksekutif perusahaan atas masalah tersebut.