Coinvestasi Telegram Group Coinvestasi Telegaram Channel

Pakar Bitcoin: Peretasan Data BlockFi Seharusnya Dapat Dicegah

Wafa Hasnaghina     Thursday, May 28 2020

Berita yang cukup mengejutkan datang mengenai peretasan di industri crypto. Peretas telah berhasil masuk ke dalam akun milik perusahaan pemberi pinjaman crypto BlockFi dengan cara menggunakan SIM swap atau menukar kartu SIM. Sebuah taktik yang biasa digunakan oleh peretas untuk mencuri identitas pengguna ponsel dengan menipu penyedia seluler.

Mendengar kejadian ini banyak dari pengguna dan komunitas crypto terkejut, pasalnya dalam laporan yang diumumkan BlockFi kepada publik, informasi sensitif dari akun, seperti nama, alamat email, tanggal lahir, alamat fisik, dan riwayat aktivitas telah diambil alih oleh peretas.

Namun, menurut BlockFi, para peretas tidak dapat mengakses data identifikasi lainnya, termasuk nomor jaminan sosial, nomor identifikasi pajak, paspor, lisensi, kata sandi, informasi rekening bank, preferensi akun, dan ID foto.

Di sisi lain, berita tersebut memiliki dampak yang sangat mengejutkan bagi klien BlockFi dan memicu kontroversi di Twitter, terutama di antara kalangan Bitcoiners yang selalu mengutamakan privasi.

Lambannya Pemberitahuan Resmi dari BlockFi kepada Pengguna

Seperti dilansir oleh Decrypt, pakar privasi Bitcoin dan host podcast Crypt, Matt Odell, mengatakan ia secara pribadi kecewa dengan “kurangnya pengungkapan kepada publik” pada situs web BlockFi terkait dengan peretasan ini. Laporan insiden pelanggaran ini sebenarnya tertanggal pada 14 Mei lalu, tetapi baru diberitahukan kepada pengguna pada 19 Mei 2020, dan tidak diumumkan langsung pada situs web BlockFi. Hal ini dirasa lamban, apalagi dengan kasus yang sangat serius seperti ini.

Sebaliknya, menurut Odell yang didapat pengguna hanya “pengumuman yang membahas mengenai 2FA dan alamat yang masuk daftar putih mereka”, dan tampaknya publikasi tersebut pun ada sebelum berita mengenai pelanggaran tersebut diumumkan kepada publik 19 Mei lalu, kemudian diperbarui lagi setelah hari kejadian.

“Fakta mengenai tenaga pemasaran memiliki akses pada informasi pribadi sesensitif ini, itu pun sudah mengganggu, apalagi fakta adanya pertukaran SIM sederhana yang memungkinkan pelaku jahat mendapatkan akses bahkan membuat kejadian ini lebih buruk lagi,” ujar Odell. “Hal ini menunjukkan bahwa perusahaan sepenuhnya mengabaikan privasi pengguna.”

Tidak Adanya Pencegahan Awal Terhadap Peretasan Data?

Kontroversi utama berada pada kurangnya pencegahan akses data privasi yang ada, hal ini karena BlockFi tidak mempunyai protokol agar dana yang telah dimasukkan melalui mixer Bitcoin disimpan pada platformnya. Misalnya, dana campuran melalui CoinJoin, layanan yang menggabungkan transaksi Bitcoin. Penggunaan CoinJoin atau mixer lain justru dilarang digunakan pada platform BlockFi, hal ini menurut CEO Perusahaan Zac Prince disebabkan karena kekhawatiran terhadap peraturan itu sendiri.

Terdapat argumen yang berbanding terbalik dengan alasan Prince tersebut. Argumen tersebut justru merasa jika pengguna BlockFi dapat menggunakan CoinJoin dan mixer lainnya maka data mereka tidak akan terganggu oleh adanya peretasan semacam ini.

Menurut pengacara crypto Rafael Yakobi, layanan seperti CoinJoin itu tidak ilegal, tetapi perusahaan forensik blockchain seperti Chainalysis telah meyakinkan BlockFi dan perusahaan lainnya untuk melarang penggunaan mixer pada pengguna platform mereka.

“Menggunakan CoinJoin untuk setoran dan penarikan akan membantu pengguna mengurangi masalah privasi yang ada seperti peretasan semacam ini, tetapi BlockFi adalah satu dari lima perusahaan yang secara eksplisit melarang penggunaan CoinJoin,” ujar Odell. “Aktor jahat yang membahayakan sistem mereka, sekarang dapat dengan mudah menggunakan alamat penyetoran dan penarikan untuk melacak sejarah transaksi masa lalu dan masa depan pengguna serta saldo mereka,” tambahnya. “Kebijakan anti-coinjoin ini sama halnya dengan anti-user.”

Yakobi setuju. “Jika aktor jahat memperoleh riwayat transaksi yang juga terkait dengan nama asli, pengguna akan rentan sekali terhadap serangan yang ditargetkan, karena peretas mungkin dapat mengetahui berapa banyak Bitcoin yang dimiliki seseorang, dan di mana Bitcoin itu disimpan. ”

Lebih lanjut, Yakobi juga menambahkan, “Pengumpulan informasi Dragnet harus diteliti dan dibatasi mengingat risiko yang melekat terkait dengan penyebaran informasi sensitif pribadi yang tidak sah dan memiliki nilai yang dipertanyakan sebagai alat AML.”

Akibat yang dialami pada perusahaan BlockFi belum dapat diketahui dengan pasti, apakah perusahaan tersebut telah kehilangan kepercayaan dari para penggunanya atau tidak. Hal ini masih harus ditinjau kembali.

Informasi selengkapnya dapat dilihat di sini