WASHINGTON - Data pelanggan yang dicuri termasuk laporan medis dari perusahaan asuransi kesehatan terbesar di India, Star Health, dapat diakses publik melalui chatbot di Telegram. Hal itu terungkap hanya beberapa minggu setelah pendiri Telegram dituduh mengizinkan aplikasi messenger tersebut memfasilitasi kejahatan.
Pencipta chatbot tersebut mengatakan kepada seorang peneliti keamanan, yang memberi tahu Reuters tentang masalah tersebut, bahwa detail pribadi jutaan orang diperjualbelikan dan sampel dapat dilihat dengan meminta chatbot tersebut untuk mengungkapkannya.
Star Health and Allied Insurance (STAU.NS), membuka tab baru, yang kapitalisasi pasarnya melebihi $4 miliar, dalam sebuah pernyataan kepada Reuters mengatakan telah melaporkan dugaan akses data yang tidak sah ke otoritas setempat. Dikatakan bahwa penilaian awal menunjukkan "tidak ada kompromi yang meluas" dan bahwa "data pelanggan yang sensitif tetap aman".
Dengan menggunakan chatbot, Reuters dapat mengunduh dokumen polis dan klaim yang menampilkan nama, nomor telepon, alamat, rincian pajak, salinan kartu identitas, hasil tes, dan diagnosis medis.
Kemampuan pengguna untuk membuat chatbot secara luas dianggap telah membantu Telegram yang berbasis di Dubai menjadi salah satu aplikasi perpesanan terbesar di dunia dengan 900 juta pengguna aktif bulanan.
Namun, penangkapan pendiri kelahiran Rusia Pavel Durov di Prancis bulan lalu telah meningkatkan pengawasan terhadap moderasi konten Telegram dan fitur-fitur yang terbuka untuk disalahgunakan untuk tujuan kriminal. Durov dan Telegram membantah melakukan kesalahan dan menanggapi kritik tersebut.
Penggunaan chatbot Telegram untuk menjual data curian menunjukkan kesulitan yang dialami aplikasi tersebut dalam mencegah agen jahat memanfaatkan teknologinya dan menyoroti tantangan yang dihadapi perusahaan-perusahaan India dalam menjaga keamanan data mereka.
Chatbot Star Health menampilkan pesan selamat datang yang menyatakan bahwa chatbot tersebut "oleh xenZen" dan telah beroperasi setidaknya sejak 6 Agustus, kata peneliti keamanan yang berbasis di Inggris Jason Parker.
Parker mengatakan bahwa ia menyamar sebagai calon pembeli di forum peretas daring tempat seorang pengguna dengan alias xenZen mengatakan bahwa mereka membuat chatbot dan memiliki 7,24 terabita data yang terkait dengan lebih dari 31 juta pelanggan Star Health. Data tersebut gratis melalui chatbot secara acak, sepotong-sepotong, tetapi dijual dalam bentuk massal.
Reuters tidak dapat memverifikasi klaim xenZen secara independen atau memastikan bagaimana pembuat chatbot memperoleh data tersebut. Dalam email kepada Reuters, xenZen mengatakan bahwa mereka sedang berdiskusi dengan pembeli tanpa mengungkapkan siapa atau mengapa mereka tertarik.
DIHAPUS
Saat menguji bot, Reuters mengunduh lebih dari 1.500 file dengan beberapa dokumen tertanggal Juli 2024. "Jika bot ini dihapus, waspadalah dan bot lain akan tersedia dalam beberapa jam," bunyi pesan selamat datang tersebut.
Chatbot tersebut kemudian ditandai "PENIPUAN" dengan peringatan standar bahwa pengguna telah melaporkannya sebagai tersangka. Reuters membagikan detail chatbot tersebut kepada Telegram pada 16 September dan dalam waktu 24 jam juru bicara Remi Vaughn mengatakan bahwa chatbot tersebut telah "dihapus" dan diminta untuk diberi tahu jika ada chatbot lain yang muncul.
"Berbagi informasi pribadi di Telegram secara tegas dilarang dan dihapus setiap kali ditemukan. Moderator menggunakan kombinasi pemantauan proaktif, alat AI, dan laporan pengguna untuk menghapus jutaan konten berbahaya setiap hari."
Chatbot baru telah muncul sejak saat itu yang menawarkan data Star Health.
Star Health mengatakan bahwa seseorang yang tidak dikenal menghubunginya pada 13 Agustus dan mengaku memiliki akses ke beberapa datanya. Perusahaan asuransi tersebut melaporkan masalah tersebut ke departemen kejahatan dunia maya di negara bagian asalnya Tamil Nadu dan badan keamanan dunia maya federal CERT-In.
"Akuisisi dan penyebaran data pelanggan yang tidak sah adalah ilegal, dan kami secara aktif bekerja sama dengan penegak hukum untuk mengatasi aktivitas kriminal ini. Star Health meyakinkan pelanggan dan mitranya bahwa privasi mereka adalah yang terpenting bagi kami," katanya dalam pernyataannya.
Dalam pengajuan bursa saham pada tanggal 14 Agustus, membuka tab baru, Star Health, pemain terbesar di India di antara penyedia asuransi kesehatan mandiri, mengatakan sedang menyelidiki dugaan pelanggaran "beberapa data klaim".
Perwakilan untuk CERT-In dan Dewan Perwakilan Rakyat Tamil Nadu Departemen kejahatan tidak menanggapi permintaan komentar melalui email.
TIDAK MENYADARI
Telegram memungkinkan individu atau organisasi untuk menyimpan dan berbagi sejumlah besar data di balik akun anonim. Telegram juga memungkinkan mereka membuat chatbot yang dapat disesuaikan yang secara otomatis menyediakan konten dan fitur berdasarkan permintaan pengguna.
Dua chatbot mendistribusikan data Star Health. Satu menawarkan dokumen klaim dalam format PDF. Yang lain memungkinkan pengguna untuk meminta hingga 20 sampel dari 31,2 juta kumpulan data dengan satu klik yang memberikan rincian termasuk nomor polis, nama, dan bahkan indeks massa tubuh.
Di antara dokumen yang diungkapkan kepada Reuters adalah catatan yang terkait dengan perawatan putri pemegang polis Sandeep TS yang berusia satu tahun di sebuah rumah sakit di negara bagian selatan Kerala. Catatan tersebut termasuk diagnosis, hasil tes darah, riwayat medis, dan tagihan hampir 15.000 rupee ($179).
"Kedengarannya mengkhawatirkan. Tahukah Anda bagaimana ini dapat memengaruhi saya?" kata Sandeep, mengonfirmasi keaslian dokumen tersebut. Dia mengatakan Star Health belum memberitahunya tentang kebocoran data apa pun.
Chatbot tersebut juga membocorkan klaim tahun lalu oleh pemegang polis Pankaj Subhash Malhotra yang mencakup hasil tes pencitraan ultrasonografi, rincian penyakit, dan salinan rekening pajak federal serta kartu tanda penduduk nasional. Ia juga mengonfirmasi bahwa dokumen tersebut asli dan mengatakan bahwa ia tidak diberi tahu tentang adanya pelanggaran keamanan.
Chatbot Star Health merupakan bagian dari tren peretas yang lebih luas yang menggunakan metode tersebut untuk menjual data curian. Dari lima juta orang yang datanya dijual melalui chatbot, India merupakan negara dengan jumlah korban terbesar, yakni 12%, berdasarkan survei terbaru tentang epidemi yang dilakukan oleh NordVPN pada akhir tahun 2022.
"Fakta bahwa data sensitif tersedia melalui Telegram adalah hal yang wajar, karena Telegram merupakan etalase yang mudah digunakan," kata pakar keamanan siber NordVPN Adrianus Warmenhoven. "Telegram telah menjadi metode yang lebih mudah digunakan bagi para penjahat untuk berinteraksi."