Shopee SPayLater Dibobol Hacker Tanpa Permintaan OTP

Kejadian ini saya alami pada tanggal 10 Juni 2021. Saya memang pengguna aktif aplikasi Shopee dan layanan Shopee SPayLater dengan catatan pembayaran yang bagus (tidak pernah ada keterlambatan pelunasan). Namun pada sore hari itu saya sengaja mengecek tagihan Shopee SPayLater saya karena memang biasanya saya cek berkala.

Saat itu saya terkaget-kaget karena limit Shopee SPayLater saya yang sebesar 3 juta rupiah, tinggal tersisa Rp700 ribuan. Kemudian saya cek transaksi saya dan di situ ada pembelian voucher Indodax (2 pcs @1 juta rupiah) sebesar Rp2,1 juta.

Saya cek chat saya dan terkaget lagi. Di sana hacker berulang-ulang melakukan transaksi dan komunikasi dengan seller untuk pembelian voucher dan minta dikirimkan ke email dia dan konfirmasi melalui WA hacker (email : nedinovi0709@gmail.com dan nomor WA: 081278469001).

Dari kejadian ini, saya langsung melakukan pelaporan kepada pihak Shopee dan meminta untuk menangguhkan semua transaksi pembelian yang dilakukan hacker. Pihak Shopee bilang akan berusaha membantu membatalkan transaksi-transaksi itu. Pihak Shopee menyarankan saya untuk melakukan non-aktif akun sementara waktu dan saya menyetujuinya.

Di sini yang harus digarisbawahi adalah:

  1. Saya tidak pernah menerima permintaan password/PIN/kode OTP transaksi Shopee melalui media apapun. Padahal secure transaksi Shopee SPayLater saya menggunakan PIN/finger print detection. Jadi bagaimana keamanan data di aplikasi dapat dipertanggungjwabkan oleh pihak Shopee sehingga kejadian peretasan ini dapat terjadi?
  2. Saya melakukan banding pengembalian dana untuk transaksi yang statusnya masih “dikirim”. Karena memang saya tidak pernah menerima barang yang dipesan oleh hacker. Namun seller beralasan bahwa kode voucher sudah dikirim lewat email hacker atas dasar komunikasi lewat chat (dimana saya tidak memiliki akses ke email tersebut). Ini menurut saya melanggar ketentuan jual-beli di Shopee, karena barang dikirim melalui email (di luar platform jaminan Shopee). Shopee harusnya menyetujui banding pengembalian dana yang saya ajukan.
  3. Dari bukti-bukti chat yang saya kirimkan ke pihak Shopee, harusnya mereka dapat menyimpulkan bahwa si hacker dalam waktu singkat penguasaan akun saya, telah terbukti melakukan transaksi yang bersifat terburu-buru, memaksa seller untuk segera memproses dan mengarahkan transaksi berlangsung di luar platform Shopee (meminta mengirim kode voucher lewat email). Analis pihak Shopee harusnya dapat menyimpulkan ini adalah tindakan peretasan.
  4. Dengan adanya kejadian ini apakah data akun customer-customer Shopee akan mendapatkan jaminan keamanan yang serius dari pihak Shopee? Jujur saya ragu, karena kejadian saya ini adalah murni keteledoran sistem yang tidak men-secure data pelanggan dengan baik sehingga mudah diretas dan dilakukan transaksi yang sangat merugikan customer.

Hingga saat ini saya hanya diminta terus menunggu proses, yang katanya mereka “prioritaskan” dengan cara mengecek email. Namun tetap saja tidak ada solusi riil yang mereka berikan. Sementara dana sudah dilepas ke seller (update tanggal 14/06/2021).

Terima kasih.

D. Purwadi
Kabupaten Sragen, Jawa Tengah

Artikel ini adalah buatan pengguna dan menjadi tanggung jawab penulisnya.
Bagikan

Belum Ada Tanggapan Atas Surat Pembaca Ini

Surat pembaca ini belum mendapatkan tanggapan dari pelaku usaha terkait. Jika Anda adalah pihak yang terkait dengan pertanyaan/permohonan/keluhan di atas, silakan berikan tanggapan resmi melalui tautan di bawah ini:

Komentar

  • kalau yang voucher indodax 2.777.500 itu apa? kok ada pengembalian dananya juga?

    sama yang voucher 555.500, itu juga ada pengembalian dana nya..

    apa itu transaksi hacker nya yang gagal? tidak dimention

    • tidak mau berprasangka buruk nih, tapi apa mungkin ini scam oleh buyer nya sendiri?
      -kesan tergesa-gesa chat ke seller adalah pressure bagi seller untuk segera mengemailkan dan segera di cancel pembelian nya
      -dalih untuk transaksi melalui email(diluar shopee) bisa digunakan juga oleh buyer, saat mengklaim cancel pembelian

      ketika gagal berdalih dibobol hacker tanpa OTP

      • Jika bpak berprasangka buruh saya melakukan scam, saya bersedia jika semua pihak2 terkait mau melakukan buka2an data : apakah nama saya ada akun indodax, apakah pada saat kejadian IP address benar2 dari device saya, apakah ada aliran transaksi dari indodax ke rekening pribadi saya dan apakah akun email dan WA yg digunakan hacker adalah benar2 punya saya... Disini saya sebagai korban yg ingin memperjuangkan kebenaran, dan FYI saya telah menemukan modus ini pada beberapa akun shopee lain bahkan nilai lerugiannya lebih besar dari saya. Saya menyuarakan hal ini bukan skedar utk menuntut keadilan bwt diri saya sndiri tp agar pihak shopee melakukan evaluasi security disistem mereka agar kejadian ini tidak berlanjut ke teman2 semua. Terimakasih

        • semua itu mudah, akun indodax bisa punya teman/saudara/partner/rekan, IP address dapat di spoofing, menggunakan VPN pun bisa merubah IP, dan device pun orang bisa punya lebih dari satu, atau memakai device teman/saudara/partner/rekan,

          tentu seorang penipu tidak akan membiarkan adanya sebuah bukti bahwa mereka yang melakukan, rekening bisa punya teman/saudara/partner/rekan, akun wa dan email bisa punya teman/saudara/partner/rekan

          itulah jawaban dari kenapa bisa tanpa OTP, tahu nomor shopee anda, bisa transaksi tanpa pin ataupun fingerprint

          tapi ya, siapa tahu sih memang shopee dibobol hacker, tapi sudah pasti saya yakin akan lebih banyak korban dari ini kalau memang metode pembobolan seperti ini terbukti berhasil, tapi masih banyak penipu yang menggunakan metode2 yang mengharuskan mereka meminta OTP.

      • Saran saya jgn pedulikan Ivan ini.. memang kerjaan dia dari awal cuma menyerang penulis di MK ini kok... walaupun dg dugaan... dan itu sudah Beratus kali saya lihat

    • Iya pak, hacker melakukan pembelian awalnya 2.7 jt ke seller 1,namun krn hacker minta kode voucher via chat tp ditolak oleh seller 1,kemudian hacker mengajukan pengembalian dana dan melakukan kembali transaksi ke seller 2 senilai 2.1 jt, nah seller 2 ini yg mengabulkan request hacker utk mengirim kode voucher ke WA yg hacker udh siapkan

    • Memang Benar, tapi Sebelum Uninstall, ajukan Hapus akun dulu. Ajukan Hapus akun hanya bisa dilakukan jika saldo ShopeePay sudah 0 rupiah.

      Itu upaya cari aman yang akan efektif dilakukan hanya bagi pengguna yang belum terdaftar di SPaylater maupun belum terdaftar di SPinjam.

      Yang sudah terdaftar di SPayleter apalagi di SPinjam, tidak ada jalan keluar lagi, siap siap saja kalian akan mengalami pembobolan akun seperti kasus ini.

      • Astagfirullah shopee lagi shopee lagi...abis tu sistem mohon diperbaiki hendaklah mengundang aparat polisi dan pemerintah unk memperbaikinya..kunsumen pasti akn dirugikan terus2an

        • Sistem sudh bagus, sama spt yg lain. Yg perlu diperbaiki otak pengguna yg hrs di upgrade. You ketipu juga? Kasih otp jg? Kapok.

          • Gimana kalo udah terlanjur ketipu om?padahal aku langsung lapor lho....sebenarnya mau selidi mandiri ke bank nobu ndak sanggup karena yg transfer itu pake shopee pay...sebenarnya pihak shopee yg ada paluang bantu konsumenx

    • sepertinya anda perlu obat batuk.hahaha. masalah selesai kalau hacker atau orang jahat telah hilang dari dunia ini..itu baru betul

    • Memang benar. Sudah rawan banget. Rentetan demi kasus yang di laporkan harusnya sudah bisa membuat para pembaca sadar. Jangan menantang bahaya, mencegah lebih baik daripada mengobati.

      Saya yakin Pelapor di MK ini sudah sangat teliti dalam mengamankan akun nya, tapi tetap saja di bobol. Artinya siapapun bisa mengalami pembobolan seperti itu, tanpa pandang bulu lagi.

      Sayang banget duit jutaan hilang hanya sebentar, carinya susah.

  • Jika penulis jujur spt apa yg ditulis, ada beberapa kemungkinan.

    Pertama bisa jadi pernah ganti hp, dimana hp lama yg dijual masih terinstall aplikasi shopee tanpa di reset. Ketia dibeli orang lain, bisa masuk akun shopee anda.

    Kedua nomer hp yg terdaftar di shopee hangus, dan di shopee tidak pernah diganti tuh nomer. Ketika nomer di daur ulang, bisa login itu orang.

    Ketiga kode otp di shopee dimatikan.

    Keempat, kena link phissing.

    Kelima penulis tidak jujur. Dgn nulis disini penulis pasti sudah baca tuh kasus tentang shopee, semua krn berikan otp, link phissing dll. Bohong dan tidaknya hanya penulis dan Tuhan nya saja yg tahu.

    Kalau shopee bisa dibobol tanpa otp, maka semua marketplate dan semua situs yg pakai otp juga bisa dibobol.

    • Kemungkinan 1 : Saya tidak pernah ganti HP dari pertama kali menginstall shopee dan saya tidak pernah kehilangan HP jd tidak mgkin hack bermula dari akun yg terinstall di HP lama

      Kemungkinan 2 : Saya menggunakan nomer HP ini sejak tahun 2011, dan sampai sekarang nomer yg terdaftar di akun shopee msih saya gunakan.

      Kemungkinan 3 : sampai tadi saya ganti password login akun shopee saya masih menerima kode OTP via WA, jd ini juga bukan alasan

      Kemungkinan 4 : Link phissing? Saya adalah pribadi yg sangat hati2 dalam menghubungkan akun marketplace dg social media saya atau memberikan data pribadi saya melalui link2 tak jelas. Disini yg saya soroti adalah kelemahan sistem shopee yg saya herankan masih mengijinkan lebih dari 1 device login secara bersamaan (karena faktanya akun saya tidak pernah logout saat terjadi peretasan)

      Kemungkinan 5 : silahkan berasumsi bahwa saya melakukan scaming atau apapun itu. Sayahanya bertindak sbg customer yg menuntut keadilan atas apa yg tak pernah saya lakukan dan tak pernah saya nikmati. Jikamemang akhirnya tidak ada pertanggungjwban dari shopee semoga Allah mengganti dg rejeki lain.

      Note : ternyata sejak saya membuat thread di twitter tentang kasus ini, saya juga dihubungi oleh korban2 lain yg kasusnya sama, ditransaksikan produk yg sama dan yg aneh di seller yg sama (seller 1 yg tadi saya sebut)

      • Pasti di HP anda ada aplikasi Tiktok.

        Saat membuka aplikasi Tiktok, melihat tontonan penuh dosa, di sela sela itu muncul Iklan yang mau tidak mau harus anda tonton.

        Iklan yang muncul itu adalah aplikasi yang sedang berproses membaca isi HP anda.

        • Asumsi ini dasarnya apa ya? Jika apk tiktok adalah sebab kasus ini, jutaan pengguna apk tiktok datanya diretas dong? Skali lagi, jika kita tidak menghubungkan akun sosmed (IG, FB dll) dengan akun shopee kita, akan kecil kmungkinan kita mngalami phissing. Lagian iklan apapun yg tidak mngantarkan kita trhubung ke akun shopee ya gada pengaruh yg signifikan

        • spyware dimana mana..kita butuh ahli IT atau cybersecurity membedah aplikasi keuangan digital..apakah aman dari spyware.jgn cuma menyalakan pengguna saja. yg fair dunk..katanya aman..tapi buktinya data kartu kredit marketplace bocor tanggal 4mei 2020..siapa oknumnya..cuma bisanya nyalain pengguna

      • @D Purwadi

        [semoga Allah mengganti dg rejeki lain.]

        Anda sadar gak sih, SPaylater itu pakai sistem Riba’. Memalukan sekali, anda bermain main dengan yang Haram tapi menyebut nama Tuhan.

        Anda Hutang Spaylater walaupun bayar tepat waktu tapi tetap saja yang anda makan adalah sesuatu yang Haram.

        SPaylater Haram jika telat bayar. Anda berusaha tidak telat bayar agak bisa dikatakan halal.

        Minuman Keras Haram jika memabukan. Anda minum Miras tapi berusaha tidak Mabuk agar bisa dikatakan Halal.

        Anda Membodohi diri sendiri.

      • Saya jualan di 3 marketplace, ketika mau print resi pengiriman saya login lewat komputer tanpa logout dr hp dan semuanya tdk bermasalah. Mau login ke beberapa device tdk masalah asalkan legal, memasukkan otp dgn benar.

        Jd kl boleh saya simpulkan, bagaimanapun juga penipu harus mendapatkan otp, bagaimanapun caranya, entah anda sadari atau tidak.

        • @hery mulyanto saya sangat sangat sadar bahwa saya tidak pernah memberikan kode OTP via sms/WA, itulah alasannya saya menuntut keadilan dari pihak shopee utk memberikan solusi terbaik atas kasus ini. Saya sudah byk membaca kasus2 yg trjadi tentang peretasan akun shopee dan rata2 mereka korbannya mengakui telah memberikan kode OTP yg diinginkan hacker, tp disini saya ingin sekali lagi menegaskan bahwa dikasus saya tidak pernah ada permintaan kode OTP dan saya tidak pernah memberikan kode OTP. Terimakasih

          • Pertahankan teruss yg menjadi hakmu pak ..lanjut...doaku unk anda sekalian yg diizolimi ....moga uangku jg bisa balik...aamiin ya Robby...

          • apa mungkin, shopee anda dilink kan pada google account? login shopee melalui google account tidak memerlukan OTP sama sekali

      • Betul sekali ..lama banget nyarinya trus kita ditipu ambyar dah uang ..kejam sekali

      • Kalo memang anda jujur, sepertinya anda kena phissing jadi hp anda ada malware atau spyware tanpa anda sadari sehingga bisa teretas. Saya juga mei kemarin hp saya sempet ada malware yg terinstall dengan sendiri nya dan malware tersebut menyamar jadi aplikasi shopee sekilas anda gak akan bisa bedakan mana malware mana bukan untung saja waktu itu saya langsung sadar kalo ada malware langsung saya hapus dan akun² di hp saya semua saya ganti paswordnya. Jadi bisa jadi hp anda yg kena retas awalnya bukan akun shopee nya.

  • Sama sekali tidak ada sanksi utk seller 2 yg telah mengirim kode voucher via email pdhal ditransaksinya jelas tertulis "dikirim fisik ke alamat". Malahan pengajuan dana yg sengaja saya ajukan agar dana tetap dipegang shopee saja sudah diputuskan "Ditolak". Entah bagaimana lagi harus menjelaskan ke pihak shopee

    • Polisi sedang sibuk awasi ujaran kebencian di medsos, tidak ada waktu untuk urusi hal spt ini.

  • Pernah berprasangka orang dekat yang punya akses pegang pinjam hp?
    Selama saya baca di MK semuanya karena kode otp, link phishing, social enginering, apapun itu tetep pakai otp.

    Coba kontak indodax, sapa tau dapat info siapa yang mencairkan kode tersebut.

    Ada yang tidak biasa menurut saya.
    Kalo saya jadi hacker hebat itu, yang memilih korban secara random, yang tanpa perlu otp, saya pilih korban yang lebih besar nominalnya.

    Disini ada yang pernah kebobol puluhan juta karena otp.

    Ya semoga bisa ketemu titik cerahnya

    • ada yg janggal dr cerita ini. kalau sy melihatnya ini adalah Transaksi wajar dg menggunakan akunmu. jadi darimana dihacknya? ini lebih spt kamu nyuruh si A beli voucher ke si B dg menggunakan akunmu yg ada spinjamnya. hack itu harusnya bukan kyk gini. harusnya ada cerita bagaimana langkah2 hacker itu menguasai akunmu. karena kita gk tau dari chat itu. apakah itu hacker atau pemilik asli akun yg melakukan pemesanan.

      • @guntur sebenarnya jika banyak org2 disini yg menyudutkan saya bahwa cerita ini adalah rekayasa/scamming buyer/mengada2 ya tinggal kita buktikan saja apakah akun indodax dg email seperti yg hacker sebutkan adalah milik saya atau milik orang lain karna dichat tersebut hcker menyebutkan email akun indodaxnya. Dari awal saya hanya memperjuangkan apa yg menimpa saya ini utk dpt keadilan dan perbaikan dari shopee agar tmn2 semua tidak mengalami sprti saya. Terimakasih

        • Semoga cepat beres pak,dan ada solusi dr shopee kl benar2 bkn dr kesalahan bapak...
          Dan jg dr pihak shopee agar ditingkatkan lg keamanan bg pengguna...bersihkan org2 dalam shopee,knp bisa data2 pengguna bisa menyebar kmn2....

    • Gua setuju dengan ini. Curiga orang orang terdekat yang menggunakan. SMS OTP didelete setelah digunakan sehingga korban tidak merasa terima di ponsel. Coba minta pihak Shopee membuka loghis OTPnya. Selama tidak dibuka log database Shopee selama itu korban tidak akan percaya.

  • Hari kejadiannya sama pak sama saya, bedanya kalo saya ditlpn sama si penipu, dia nanya2 gimana selama saya pake shopee, trus dia juga bilang saya dapet uang sejuta.. awalya gak percaya.. tapi setelah ada pemeritahuan ada shopeepay yang akan masuk ke akun saya saya jadi percaya gak tau kenapa dia bisa tau rincian pemebelian saya juga padahal sebelumnya dia gk minta otp saya, setelah itu katanya si penipu ini karna saya belum mengaktikan s.pinjam uangnya gak bisa masuk, harus aktivin dulu s.pinjamnya dari situ barulah dia minta otp dan tanggal lahir saya,, yang kemudian s. Pinjam saya dan s.payletter saya di bobol sama dia, setelah kejadian itu akun saya di bekukan dengan menlpn pihak cs shopee dan saat sraya membukany kembali ternyaa ada rincian penarikan ke bank noku di semarang atas nama aisyah dan pembayaran baju atas nama aisyah pula... mereka juga beli pulsa pake s.payletter ku... sekarang saya udah minta laporan ke kapolsek juga udah minta cs nya buat bekukan s.payletternya karena takut ada yang mengsalahgunakan lagi... sedih sihh..

    • Selama anda memasukkan data untuk registrasi pembelian Online, ya data data juga tersimpan secara Online, dan dapat dicari dengan search engine apa saja.
      Jadi jangan heran kalau seseorang tahu apa aktivitas mu, atau pembelian mu di Marketplace. Iming Iming hadiah atau reward seolah olah benar jadi anda meyakini semua.