Karyawan Bobol Data Ninja Xpress, 2 Ditangkap
JAKARTA — Kasus pelanggaran keamanan data kembali mencuat setelah Direktorat Reserse Siber Polda Metro Jaya berhasil mengungkap praktik akses ilegal terhadap sistem milik salah satu perusahaan jasa ekspedisi.
Aksi ini memanfaatkan celah pada sistem internal perusahaan, yang kemudian dimanfaatkan untuk aksi penipuan berbasis pembayaran tunai di tempat atau cash on delivery (COD).
Wakil Direktur Reserse Siber Polda Metro Jaya, AKBP Fian Yunus, menjelaskan bahwa terdapat tiga tersangka dalam kasus ini.
Dua di antaranya berhasil diamankan, sementara satu lainnya masih dalam pencarian.
“Ada tiga orang, yaitu berinisial T dan MFB, sedangkan tersangka G masih berstatus DPO [daftar pencarian orang],” ujarnya dalam konferensi pers, Jumat (11/7/2025).
Tersangka T ditangkap di Bandung dan MFB di Cirebon pada Senin (5/5/2025).
Mereka diduga membobol sistem pengiriman Ninja Xpress, yang digunakan oleh konsumen TikTok untuk transaksi berbasis COD. Aksi ini berlangsung sejak Desember 2024 hingga Januari 2025.
Berawal dari sekitar 100 komplain pelanggan atas paket COD yang tidak sesuai, pihak Ninja Xpress pun melakukan audit internal.
Hasilnya, ditemukan 294 pengiriman COD yang tiba lebih cepat dari ketentuan waktu tujuh hari.
“Hal tersebut dikarenakan adanya penyalahgunaan wewenang karyawan Ninja Xpress di kantor Lengkong, Bandung, Jawa Barat,” ujar Fian.
Sistem Ninja Xpress, yang dikenal sebagai OpV2, sejatinya melindungi informasi pengiriman melalui kode NJVT.
Namun, oknum karyawan berhasil membongkar data yang seharusnya terenkripsi, dalam proses yang dikenal sebagai unmasking.
Data yang dibobol mencakup nama pelanggan, jumlah dan jenis pesanan, alamat, nomor ponsel, hingga nominal pembayaran.
Informasi ini kemudian dijual ke pihak luar yang berpura-pura menjadi kurir, mengantar paket palsu, dan menerima pembayaran COD.
“Data tersebut kemudian dijual kepada pihak luar yang kemudian mendatangi customer dengan paket palsu, dan menerima pembayaran COD,” imbuh Fian.
Para pelaku dijerat dengan Pasal 46 jo Pasal 30 dan/atau Pasal 48 jo Pasal 32 UU ITE. Ancaman hukumannya penjara maksimal delapan tahun dan denda hingga Rp2 miliar. []
Nur Quratul Nabila A
