Surat Pembaca

Akun JD.ID Dibobol, Transaksi Fraud Kartu Kredit BCA Sebesar 35 Juta Rupiah

Pada tanggal 1 September 2019 malam sekitar pukul 23.00, tiba-tiba ada notifikasi SMS dari BCA bahwa telah sukses ada pembelian 1 juta rupiah lewat JD.ID. Biasanya jika saya berbelanja lewat JD.ID maka akan ada OTP yang dikirim lewat SMS. Namun waktu itu saya tidak menerima OTP tersebut, dan beberapa menit kemudian ada SMS notifikasi ke-2 dari BCA bahwa ada transaksi pembelian lain lewat JD.ID.

Karena saya tidak merasa menggunakannya, maka saya menelepon BCA untuk memblokir kartu saya. Namun waktu proses saya menelepon BCA untuk memblokir, ternyata masuk SMS untuk transaksi berhasil lain. Total sampai 7x transaksi dengan nilai total Rp35.990.000. Saya melaporkan pada BCA dan mengatakan bahwa itu transaksi bukan dari saya dan mereka bilang akan menginvestigasi dalam waktu 20 hari.

Setelah kejadian tersebut menelepon CS dari JD.ID juga untuk menanyakan kepastian dari transaksi tersebut, dan menjelaskan kronologi kejadian atas transaksi tidak dikenal tersebut. Mereka mengatakan bahwa memang BEBERAPA HARI TERAKHIR SEDANG MENERIMA BEBERAPA LAPORAN TENTANG PEMBOBOLAN ACCOUNT JD.ID yang kurang lebih sama dengan kasus yang saya alami. Saya diminta untuk memblokir kartu kredit (yang sudah saya lakukan sebelumnya) dan meninggalkan nomor kartu kredit yang dipakai dalam transaksi tidak dikenal tesebut. Mereka mengatakan bahwa prosesnya investigasi sekitar 2 x 24 jam.

Sekitar 2 hari kemudian saya menelepon lagi dari pihak JD.ID dan untuk mem-follow up kasus tersebut, dan ternyata account saya dibobol dan dalam account tersebut, nomor handphone yang terdaftar diganti dengan nomor orang lain yang tidak dikenal, sehingga saya tidak bisa men-delete kartu kredit saya yang ada di account tersebut. Saya meminta dari pihak JD.ID untuk mengganti lagi dengan nomor HP saya atau paling tidak memblok account tersebut, sehingga tidak ada lagi transaksi yang digunakan hacker.

Alangkah terkejutnya saya, jawaban dari JD.ID bahwa mereka bilang tidak bisa diblok account-nya, harus memblok lewat verifikasi nomor HP yang tertera di account yang sudah ada. Pertanyaan saya bagaimana bisa saya memblok/mengganti nomor account jika yang dibobol account saya dan nomor hp tersebut bukan milik saya dan milik siapapun saya juga tidak tahu? Mereka mengatakan akan investigasi lagi lebih lanjut dan akan memberi kabar segera.

Setelah hal tersebut saya mendapat email dari Customer Service JD.ID yang jawabannya sangat tidak membantu (saya berikan di detail gambar pendukung), yang mengatakan bahwa silahkan bapak lapor ke polisi, jika ada data yang diperlukan maka JD.ID siap membantu. Sebagai pengguna setia JD.ID saya merasa heran, mengapa JD.ID melepas tanggung jawab seperti itu. Padahal kebobolan account tersebut seperti dikatakan oleh customer service tidak hanya saya, dan saya yakin yang lain juga kena. Sedangkan JD.ID seharusnya memberikan jaminan keamanan account. Hal ini terjadi juga karena adanya keamanan sistem dari JD.ID yang tidak sempurna. Saya sungguh sangat kaget dan kecewa.

Saya masih belum tahu apakah harus membayar atau tidak atas transaksi yang tidak saya lakukan tersebut, karena masih proses investigasi dari BCA. Namun dari JD.ID sudah pasti melepaskan tanggung jawab. Sama sekali tidak ada jawaban dari pihak JD.ID, hanya mengoper tanggung jawab kepada polisi.

Tujuan saya tulis surat pembaca ini bukanlah saya ingin memojokan pihak JD.ID ataupun dari BCA. Namun saya berharap bahwa pihak JD.ID tidak seharusnya melepas tanggung jawab masalah keamanan dari konsumen seperti itu. Apalagi jumlahnya sangat besar, dan saya juga berharap bahwa kejadian tersebut tidak dialami oleh orang lain selain saya.

Saya harap dapat diteruskan untuk mendapat solusi dari JD.ID maupun BCA atas surat ini. Nomor laporan JD.ID: 803164727, nomor laporan BCA: 2098401390.

Terima kasih.

Yansen Gunawan
Jakarta Barat

Artikel ini adalah buatan pengguna dan menjadi tanggung jawab penulisnya.
Bagikan

Tanggapan Atas Surat Pembaca Ini

Tanggapan JD.ID atas Surat Pembaca Yansen

Menanggapi surat keluhan yang ditujukan kepada kami oleh Yansen pada hari Senin, 9 September 2019 lalu di halaman ini, kami...
Baca Selengkapnya

Komentar

  • Mhn kesediaan Bpk/Ibu menunggu, dengan senang hati kami segera merespon mention kembali. Tks :)
    ^Mei

  • Akhir-akhir ini kok banyak berita maupun SP di sini perihal pembobolan akun ya, mulai dari di marketplace sampai ojek online, baik yang berupa pembobolan langsung maupun penipuan secara social engineering lewat telepon.

    Tanda-tanda apakah ini?
    Apakah sebegitu besarnya peluang "bisnis" mencari mangsa korban yang bisa ditipu maupun dibobol akunnya?
    Seberapa besar prosentase antara "kesalahan" dari korban (nasabah/konsumen) & seberapa besar andil dari tempat di mana kita menaruh akun untuk mengamankan akun tersebut?
    Memang bisa berbeda-beda rasio nya antara setiap kasus (contohnya dalam kasus yang ditulis di SP di atas, mungkin cukup kecil "kesalahan" dari sang pemilik akun), tapi bisa dipastikan bahwa tidak pernah & tidak mungkin "tempat/site yang menyediakan akun" *sama sekali* tidak ada andil dalam kejadian ini. Karena prosedur untuk masuk/login, mengganti/edit detil akun, semuanya ditetapkan oleh mereka.

    Contohnya: dalam kasus di atas, bagaimana bisa terjadi transaksi tanpa OTP (ini jelas tanggung jawab merchant). Memang di luar negeri banyak site terkenal tidak mendukung 3DS, tapi kondisinya kan berbeda di sini. & setahu saya jd.id menerapkan 3DS, jadi mengapa kok bisa terjadi?
    Contoh lain kalau di ojek online, bagaimana bisa terjadi si penipu bisa tahu bahwa sedang ada konsumen yang bertransaksi? Akun palsu? Kerjasama dengan driver? Security breach?

    Intinya, gak ada ceritanya tempat menaruh akun lepas tangan begitu saja.
    Apalagi ini ada marketplace yang tidak bisa meng-override setting di web nya sendiri. Coba sediakan budget yang lebih besar untuk cari tenaga IT yang lebih canggih (& tentunya juga yang berakhlak baik).

  • Wow, 35 juta itu produk virtual apa produk real? Kalo produk real kan JD.ID bisa langsung cancel, bahkan bisa ditrace ke alamat pengirimannya kalo serius mau mengusut siapa pelakunya. Kalo produk virtual, kok bisa 7 kali transaksi sampai 35 juta? JD.ID juga gak bisa lepas tangan begitu aja, karena mereka jg rugi kalo transaksi dinyatakan fraud oleh bank. BTW agan sudah isi form sanggahan transaksi dari BCA belum? Untuk transaksi fraud seperti ini agan harus mengirimkan form sanggahan transaksi secara tertulis supaya kuat buktinya. Nanti pihak bank akan investigasi, dan kalo terbukti fraud nanti pihak bank bakal charge back ke JD.ID sebagai merchant.

    • semua dalam produk virtual, setau saya kebanyakan hack pasti dalam produk virtual. bisa 7x transaksi, karena 7x transaksi tersebut hanya dalam 9 menit. waktu saya sedang telpon dengan call center BCA, sudah ada beruntun sms notifikasi pembelian berhasil lagi, jadi hanya selang bbrp menit.
      sudah lapor ke pihak bca untuk sanggahan transaksi dan sudah mengirimkan surat pernyataan dll, tapi bca masi investigasi dalam 20 hari, saya tidak tau apakah bisa dibuktikan atau tidak, tapi yang membuat saya sangat jengkel ialah tanggapan dr JD.id yang hanya mengatakan seperti itu.

      • Produk virtual apa bisa sampe 35 juta gan? ? Biasanya kan fraudster cuci uangnya lewat pembelian pulsa atau paling banter voucher game.

      • Sy juga pak,padahal sy tdk punya akun di JD.ID. CC sy br saja jadi, besok nya sdh dibobol. Sy sdh lapor ke CS bank penerbit dan dikatakan transaksi msh menggantung dan disarankan hub CS JD.ID guna membatalkan. Sdh lsg sy hub bahkan sy kirim jg laporan dr kepolisian. Bbrp jam dr pelaporan sy ke JD.ID malah transaksi sdh terselesaikan. Sy minta informasi siapa,barang apa yg dipesan dan kemana tp tdk mau dijelaskan (sdh lapor via CS/EMAIL/LIVECHAT WA). Kan kita sbg korban kok knp malah dipersulit ya

  • busyet enak banget tuh maling, ambil duit orang 35jt.
    gak mikir orang susah-susah cari rejeki, dia ambil seenak jidat.
    semoga nanti pihak BCA & JD.ID bisa terima kalo itu bukan kesalahan nasabah/konsumen dan dapat dihapuskan tagihannya.

    kalo untuk pengguna aplikasi mobile banking BCA, bisa langsung blokir kartu kredit atau debit lewat aplikasi. lebih cepat & gak perlu menghubungi CS.

    • Dan semoga tuh hacker ditangkap juga biar masuk hotel prodeo dan minimal berkurang satu hama

  • Saran buat agan2 dan sister2, jika menggunakan market place seperti ini, dan jika berbelanja menggunakan kartu kredit, lebih aman jika setelah bertransaksi segera delete nomor kartu yang didaftarkan... saran untuk market place perkuat sistem IT kalian, jangan rugikan konsumen, karena data pribadi yang didaftar konsumen ke kalian harus kalian jaga dengan baik karena itu adalah kewajiban kalian, agar konsumen percaya dengan kalian. jangan hanya ingin untung tapi lalai jalankan kewajiban kalian.

  • wah kasusnya serem banget..
    Sy sebagai pemilik kartu kredit juga jadi was2
    sy sering bayar dengan kartu kredit untuk pembayaran marketplace
    pada suatu kali sy bertransaksi di tokopedia dan saat itu sy tidak mendapat OTP langsung oke..tapi hanya kali itu saja
    biasanya sy mendapat otp
    Perna juga sy melakukan pembayaran tikete pesawat dengan Traveloka juga tidak meminta OTP langsung oke
    saya jadi ragu dengan tingkat keamanan kartu kredit untuk pembayaran di marketplace
    Padahal Marketplace menjamin kerahasiaan data kita.sedangkan kita suda membuka rahasia tentang no kartu, nama ,tgl exp dan cvv..
    semoga kasus agan cepat terselesaikan
    kalau perlu agan lapor polisi cyber crime supaya dicek dari ip adress mana yg melakukan hack

    • OTP (3DS) itu tanggung jawab/pilihan (choice) dari merchant, apakah mau mengimplementasikannya atau tidak (https://en.wikipedia.org/wiki/3-D_Secure).

      Saya juga hampir selalu membayar dengan KK di transaksi online. Dalam kasus toko ijo, saya selalu dimintakan OTP, yang artinya bahwa toko ijo support 3DS. Pernah juga 1 atau beberapa x (sangat jarang) tidak diminta OTP, ada kemungkinan memang pada waktu itu sedang maintenance di pihak toko ijo nya.

      Kalau trapeloka, saya *perkirakan* merchant tersebut TIDAK SUPPORT 3DS, jadi... ya begitulah.
      Fyi, tidak dengan serta merta bahwa merchant yang tidak support 3DS = merchant kurang baik, karena kenyataannya banyak merchant besar di LN yang tidak support 3DS (dengan pertimbangan mereka sendiri masing2, cek wiki di atas). Termasuk Google, Amazon, Agoda, Steam dsb.

      Cuma memang kalau untuk *di dalam negeri* maka merchant yang tidak support 3DS jadi terlihat kurang bagus/kurang secure, karena MAYORITAS merchant dalam negeri support 3DS (mungkin karena aware bahwa di sini rawan hacking wkwkwk).

  • Aku jual akun PUBG 500rb, tapi setelah dijual aku masih bisa login, sejenak ada pikiran untuk AMBIL LAGI AKUNNYA, GANTI LAGI PASSWORD NYA, tapi alhamdulillah itu tdk terjadi.

    • Akun JD.ID Dibobol, Transaksi pakai Kartu Kredit BCA Sebesar 37 Juta Rupiah pada saya tdk punya app akun JD.ID tdk tahu keluar OTP dari BCA saya langsung minta di blokir kartu kredit saya. Saya telepon halo BCA butuh berapa menit tapi transaksi bisa berhasil banyak. Pada hal saya sudah bikin surat sanggaan saya tdk gunakan saya di suruh tunggu 20 hari laporan saya di Halo BCA pas tagian kartu kredit saya keluar 5 transaksi berhasil. Semuanya dalam jumlah besar 8 juta 4 kali 5 juta satu kali saya lapor lagi ke halo BCA buat surat sanggan lagi tapi hasilnya ditolak sama BCA pada hal saya tdk perna pakai kartu kredit saya pakai belanja online apa lagi pakai transaksi besar. Lalu saya lapor lagi ke Bank BCA pusat langsung datang tapi disana bilang klo mau lapor tlep halo BCA karna disini cuman per Bankan doank klo kartu kredit cuman produk dia katanya lalu ada surat dari BCA kata nya laporan saudara di tolak karna klo Uda keluar OTP tanggu Jawab nasaba saya bingung pada hal OTP itu tdk ada yang tahu kenapa bisa berhasil dan transaksinya sangat cepat dalam 7 menit 5 transaksi saya aja tlep halo BCA aja lebih lama harus nya tanggung jawab BCA . kenapa OTP itu keluarin pada hal dia harus tahu saya tdk perna pakai untuk transaksi online apa lagi pakai transaksi besar dalam 16 tahun. Pada hal selama itu saya baik baik aja pemakaiannya tdk ada masalah. Lalu saya lapor ke Polsek katanya klo kasus kaya gini lebih baik ke Polda ya Uda saya pergi kepolda lapor disana bilang itu kartu kredit saya jadi harus tanya langsung ke JD ID nya siapa yang pakai pakai dan alamatnya di mana karna saya yg dirugikan harus yg berhak ya Uda saya pergi ke JD ID lapor disana katanya tidak bisa karna ada badan hukum harus lapor ke polisi. Polisi yg berhak yg tanya dari situ saya pikir polisi klo kasus segitu males ladenin karna bagi dia yang sedikit. Dari situ saya jadi putus asa Uda buang waktu lapor di pingpong sana sini jalan keluarnya tidak ada begini lach nasib klo orang bawa. Bagaimana kelanjutannya saya jadi bingun.