Respons Checkout.com terhadap Serangan Peretasan: Menolak Tebusan dan Berdonasi untuk Riset Keamanan

 (checkout.com)
1 poin oleh GN⁺ 2025-11-14 | 1 komentar | Bagikan ke WhatsApp
  • Platform pembayaran Checkout.com menjadi target upaya pemerasan oleh kelompok kriminal siber, tetapi menolak membayar uang tebusan dan sebagai gantinya menyumbangkan jumlah tersebut untuk riset keamanan siber
  • Penyerang memperoleh sebagian data dengan mengakses tanpa izin sistem penyimpanan file cloud pihak ketiga warisan yang digunakan sebelum 2020
  • Checkout.com menegaskan bahwa platform pemrosesan pembayaran, dana merchant, dan informasi kartu sama sekali tidak terdampak
  • Perusahaan memperkirakan kurang dari 25% dari seluruh merchant mungkin terdampak, dan sedang bekerja sama dengan aparat penegak hukum serta otoritas regulator
  • Donasi diberikan kepada Carnegie Mellon University dan University of Oxford Cyber Security Center, sambil menegaskan kembali bahwa transparansi dan kepercayaan adalah nilai inti industri

Ringkasan insiden

  • Checkout.com dihubungi minggu lalu oleh kelompok kriminal bernama “ShinyHunters”, yang mengklaim telah memperoleh data terkait Checkout.com dan menuntut uang tebusan
  • Hasil penyelidikan menunjukkan bahwa penyerang mengakses tanpa izin sistem penyimpanan file cloud pihak ketiga yang digunakan sebelum 2020
    • Sistem tersebut digunakan untuk menyimpan dokumen operasional internal dan materi onboarding merchant
    • Checkout.com mengakui adanya kekeliruan karena sistem ini tidak dinonaktifkan dengan semestinya
  • Perusahaan menegaskan bahwa insiden ini tidak memengaruhi platform pemrosesan pembayaran, dan penyerang tidak dapat mengakses dana merchant maupun nomor kartu

Dampak dan langkah penanganan

  • Checkout.com memperkirakan saat ini kurang dari 25% merchant akan terdampak
  • Perusahaan sedang menjalankan proses identifikasi merchant yang terdampak dan menghubungi mereka satu per satu, serta bekerja sama dengan aparat penegak hukum dan otoritas regulator terkait
  • Checkout.com menekankan transparansi dan akuntabilitas, serta menyatakan komitmennya untuk menjaga kepercayaan mitra dan pelanggan
Iklan

Penolakan tebusan dan keputusan donasi

  • Checkout.com menyatakan tidak akan membayar uang tebusan kepada pelaku kriminal
  • Sebagai gantinya, jumlah yang diminta dalam serangan tersebut didonasikan sebagai dukungan riset kejahatan siber kepada Carnegie Mellon University dan University of Oxford Cyber Security Center
  • Perusahaan menyatakan akan mengubah insiden ini menjadi momentum untuk mendorong investasi keamanan di seluruh industri

Sikap dan komitmen perusahaan

  • Checkout.com menyatakan bahwa “keamanan, transparansi, dan kepercayaan adalah fondasi industri”, sambil menegaskan akan mengakui kesalahan dan melindungi merchant
  • Perusahaan menekankan akan berinvestasi dalam upaya melawan tindakan kriminal yang mengancam ekonomi digital
  • Merchant dapat meminta dukungan melalui kanal kontak Checkout yang sudah ada

Kesimpulan

  • Melalui insiden ini, Checkout.com menunjukkan sikap tegas terhadap pemerasan siber,
    serta berupaya memperkuat pertahanan industri secara keseluruhan melalui donasi untuk riset keamanan
  • Perusahaan berfokus pada pemulihan kepercayaan merchant melalui pengungkapan yang transparan dan langkah yang bertanggung jawab

Bacaan terkait

1 komentar

 
GN⁺ 2025-11-14
Komentar Hacker News

  • Beberapa tahun lalu, anggota ShinyHunters pernah ditangkap oleh FBI
    Saya pernah berada di penjara yang sama dengan salah satu dari mereka, Sebastian Raoult, dan sempat banyak berbincang dengannya
    Kegigihan yang mereka tunjukkan untuk melakukan serangan phishing berskala besar benar-benar mengejutkan. Sebagian besar akses mereka peroleh dengan cara itu, dan selebihnya dengan mencari endpoint API di GitHub lalu menelusuri key yang bocor
    Dia tampaknya tidak terlalu menyukai pemindai otomatis GitHub
    Artikel terkait: siaran pers Departemen Kehakiman AS

    • Secara umum, dalam keamanan siber manusia sering menjadi mata rantai terlemah
      Jadi tidak mengejutkan jika mereka memperoleh akses lewat rekayasa sosial
      Yang menarik, mereka sendiri mungkin juga korban rekayasa sosial. Orang-orang yang memancing peretas muda dengan membuat eksploit untuk game online pada akhirnya sedang membangun struktur untuk menghasilkan uang dengan cara yang lebih aman
    • Sangat disayangkan sampai masuk penjara federal karena menjalankan situs streaming olahraga
      Saya penasaran apakah mereka memakai hosting ilegal, atau justru terlacak lewat penyedia pembayaran
      Saya juga ingin tahu apakah situsnya seperti Sportsurge yang hanya menyediakan tautan, atau benar-benar meng-host stream-nya
    • Saya penasaran apakah dia tidak suka pemindai GitHub karena alat itu terlalu efektif sehingga mengganggu aktivitas mereka, atau karena menurutnya alat itu tidak kompeten
    • Saya ingin mendengar penjelasan yang lebih konkret tentang apa maksud dari “kegigihan untuk phishing skala besar itu mengejutkan”

  • Dari surat permintaan maaf perusahaan,

    “We are sorry. We regret that this incident has caused worry for our partners and people...”
    bagian ini sangat saya sukai. Bahkan kalau ditulis oleh LLM atau tim PR sekalipun, kalimat itu terasa tulus

    • Setiap melihat permintaan maaf seperti ini, saya selalu teringat adegan parodi BP di South Park
      Yang lebih penting daripada permintaan maaf adalah analisis akar penyebab dan langkah pencegahan agar tidak terulang.
      Mereka harus mengungkap masih ada berapa banyak sistem lama yang menangani data pelanggan, dan siapa yang menghambat anggarannya, barulah kepercayaan bisa dipulihkan
      Permintaan maaf yang sesungguhnya harus ditunjukkan lewat kompensasi, bukan kata-kata
    • Ungkapan “We are sorry.” terasa segar karena ini adalah ungkapan langka yang hampir tidak pernah dipakai perusahaan
    • Menurut saya, alih-alih “We are fully committed to maintaining your trust.”, akan lebih tepat jika memakai “rebuilding your trust
    • Respons yang lebih keras seperti “kami akan membayar $500.000 kepada pemberi informasi yang membantu penangkapan pelaku” justru bisa memberi rasa percaya
    • Saya suka karena tidak ada ungkapan klise seperti “due to an abundance of caution”. Secara keseluruhan ini tampak seperti respons yang patut dicontoh

  • Kalau saya pelanggannya, tentu saya akan marah, tetapi saya rasa respons kali ini adalah bentuk terbaik yang mungkin dilakukan

    • Respons cepat, pengungkapan sukarela oleh perusahaan, permintaan maaf yang tulus, penjelasan soal cakupan dampak, semuanya memenuhi sebagian besar kriteria
    • Tapi kalau berhenti di “kami minta maaf”, industri ini akan menghadapi bencana yang lebih besar
      Tanggung jawab hukum, pengembalian dana, dan pengetatan regulasi harus berjalan beriringan
    • Dibilang “respons cepat”, tetapi mereka tidak menemukan peretasan itu sendiri, dan baru mengungkapkannya setelah penyerang lebih dulu menghubungi, jadi apakah ini benar-benar cepat masih patut dipertanyakan
    • Dari sudut pandang pelanggan, pilihan untuk membayar tebusan demi mencegah kebocoran data mungkin justru lebih baik
      Demi transparansi, akan bagus kalau hasil audit dan postmortem juga dipublikasikan bersama

  • Donasi ini terasa lebih seperti gestur pencitraan daripada perbaikan keamanan yang nyata
    Jauh lebih penting untuk menjalankan praktik keamanan yang sudah diketahui. Uang itu seharusnya diinvestasikan untuk merekrut personel keamanan atau memperkuat sistem
    (Sebagai catatan: peretasan terjadi pada sistem lama yang belum dipensiunkan)

    • Saya melihat donasi ini sebagai sindiran kepada para kriminal. Pesannya adalah, “kami punya uang, tapi tidak akan memberikannya kepada kalian”
      Ini bukan sekadar pamer kebajikan, melainkan sinyal bahwa mereka “tidak akan tunduk pada tuntutan tebusan”
    • Meski begitu, mengirimkan sinyal yang baik dalam situasi seperti ini bukan hal yang buruk
      Kalau mereka membayar tebusan, itu justru akan mengundang lebih banyak serangan
      Walaupun uangnya hilang, memilih menggunakannya untuk arah yang lebih bernilai adalah keputusan yang bijak
    • Pada titik ini, menurut saya pamer kebajikan masih lebih baik daripada pamer keburukan
    • ‘Virtue signaling’ sering dipakai untuk mengkritik tindakan munafik, tetapi seperti dalam kasus ini, sikap tidak bernegosiasi dengan kriminal dan mendukung riset keamanan adalah arah yang benar dalam jangka panjang
    • Namun dari sudut pandang pelanggan, membayar tebusan bisa jadi justru mengurangi kerugian.
      Memang ada efek samping berupa pendanaan bagi pelaku kriminal, tetapi jika tidak dibayar, pelanggan bisa saja menanggung kerugian yang lebih besar

  • Ungkapan “penyerang memperoleh akses melalui sistem penyimpanan cloud pihak ketiga” terasa agak seperti upaya melempar tanggung jawab

    • Saya penasaran seberapa berbeda respons perusahaan jika para penyerang berhasil mendapatkan data yang benar-benar sensitif
    • Sebagian besar codebase perusahaan masih dipenuhi teknologi lama
      Bahkan ketika insiden seperti ini terjadi, biasanya cuma jadi bahan ejekan selama seminggu lalu selesai. Pada akhirnya hampir tidak ada perubahan mendasar

  • Saya rasa respons terbuka dan donasi seperti ini adalah keputusan yang berani
    Keamanan sempurna itu mustahil, dan karena postmortem-nya belum keluar, sulit untuk buru-buru menyalahkan
    Saya sangat menghargai fakta bahwa mereka tidak menutup-nutupi dan memilih pendekatan untuk kepentingan publik lewat donasi akademik

    • Di Hacker News, ada kecenderungan melihat sikap sinis sebagai semacam superioritas intelektual

  • Kalimat “sistem yang digunakan untuk dokumen operasional internal dan materi onboarding merchant” membuat saya menduga ini kemungkinan besar adalah dokumen yang dikumpulkan dalam proses KYC
    Artinya, bisa saja termasuk dokumen perusahaan atau hasil scan paspor/kartu identitas
    Data seperti ini memiliki risiko pencurian identitas yang tinggi dan bisa tetap berlaku selama bertahun-tahun

    • Namun kecil kemungkinan scan paspor disimpan bersama dokumen KYB biasa
      Sejak GDPR, data sensitif seperti itu disimpan di zona keamanan terpisah
      Kemungkinan besar ini hanyalah repositori PDF atau dokumen survei yang dipakai tim onboarding

  • Walaupun “kurang dari 25% pelanggan terdampak”, kalau saya termasuk di dalamnya, akan sulit merasa puas hanya dengan gestur tanpa kompensasi

  • “OXCIS” berarti Oxford Centre for Islamic Studies, jadi sepertinya bukan itu
    Lembaga penerima donasi yang sebenarnya tampaknya adalah pusat riset Cyber Security di University of Oxford

  • Berdasarkan pengalaman saya bekerja di industri fintech, data yang bocor kali ini tampaknya adalah dokumen KYB merchant
    Ini adalah materi untuk penilaian risiko bisnis, jadi tidak sesensitif informasi pembayaran atau PAN
    Tentu saja peretasan tetap buruk, tetapi data seperti ini kadang memang bersifat publik
    Saya menghargai perusahaan yang mengungkapkannya secara transparan

    • Namun dokumen KYB sering kali juga memuat paspor pemilik manfaat akhir atau anggota direksi, serta tax ID
      Karena itu tetap ada risiko pencurian identitas yang menargetkan kalangan kaya