Insiden keamanan digital besar telah terjadi yang melibatkan Raj Gokal, co-founder dari Solana blockchain, yang data pribadi sensitifnya bocor secara online melalui akun media sosial selebriti yang dibajak.
Pada tanggal 25 Mei, halaman Instagram resmi dari grup hip-hop Migos dikompromikan, dan peretas menggunakan jangkauan 13 juta pengikut platform tersebut untuk membagikan dokumen identitas eksplisit Gokal, termasuk gambar paspor dan SIM, sebagai bagian dari skema pemerasan yang menuntut 40 Bitcoin (sekitar $2,7 juta).
Para penyerang mengunggah setidaknya tujuh posting yang berisi gambar pribadi Gokal dan istrinya, menampilkan materi verifikasi Kenali Pelanggan Anda (KYC) yang biasanya digunakan oleh bursa mata uang kripto. Postingan tersebut diberi judul dengan pesan ancaman seperti "Seharusnya kau membayar 40 BTC" dan termasuk informasi kontak pribadi yang tampaknya.
Salah satu posting mengungkapkan nomor ponsel Gokal, dengan peretas mendesak pengikut untuk membanjirinya dengan pesan. Postingan lain merujuk pada seseorang bernama "Arvind," yang mungkin terhubung dengan kepemilikan blockchain Gokal atau terlibat secara tidak langsung.
Postingan ofensif tersebut tetap aktif selama sekitar 90 menit sebelum Meta, perusahaan induk Instagram, menghapus konten dan mengendalikan kembali akun tersebut. Selama peretasan, bio Instagram Migos diubah untuk mempromosikan meme coin, dan tautan dibagikan ke grup Telegram yang mengiklankan musik yang belum dirilis, menunjukkan adanya campuran motif finansial dan promosi di balik pelanggaran ini.
Serangan Sasaran atau Pelanggaran Data yang Lebih Luas?
Penyidik blockchain ZachXBT mengomentari insiden tersebut, menyatakan bahwa serangan kemungkinan merupakan hasil dari upaya rekayasa sosial yang berkelanjutan yang menargetkan akun pribadi Gokal sepanjang minggu sebelumnya. Menurut ZachXBT, para penyerang awalnya mencoba memeras Gokal secara langsung dan, ketika tidak berhasil, meningkatkan eksposur dengan membajak akun Instagram pihak ketiga yang populer untuk memaksimalkan visibilitas publik.
Penilaian ini sejalan dengan peringatan sebelumnya yang dikeluarkan oleh Gokal sendiri di platform sosial X, di mana ia mengungkapkan beberapa upaya intrusi pada email, media sosial, dan akun layanan teknologi-nya, mengimbau publik untuk mengabaikan komunikasi mencurigakan yang mungkin didapat dari dia.
Sementara sumber langsung dari materi KYC yang bocor belum dikonfirmasi, sifat dari gambar - ID yang dikeluarkan pemerintah dengan resolusi tinggi bersama swafoto - memicu spekulasi bahwa data mungkin telah dikompromikan dari platform kripto terpusat. Pengamat menduga adanya kemungkinan kaitan dengan pelanggaran data Coinbase baru-baru ini, yang dilaporkan berdampak sekitar 1% basis pengguna aktif bulanan bursa tersebut.
Coinbase sebelumnya telah mengakui insiden keamanan di mana penyerang menuntut tebusan $20 juta sebagai imbalan atas data pelanggan yang dicuri. Perusahaan tidak memenuhi permintaan tersebut. Namun, tidak ada bukti terverifikasi yang menghubungkan pelanggaran Coinbase dengan eksposur data Gokal. Baik Coinbase maupun Meta belum memberikan komentar tentang potensi keterkaitan.
Data KYC
Insiden ini menunjukkan semakin meningkatnya kekhawatiran tentang pengelolaan dan kerentanan data KYC dalam ekosistem kripto. Karena persyaratan peraturan memaksa platform untuk mengumpulkan dokumen identifikasi sensitif untuk onboarding pengguna, mereka menjadi target menarik bagi penyerang canggih. Kebocoran data KYC sering kali lebih merugikan dibandingkan pelanggaran kata sandi, karena dokumen yang terlibat - paspor, SIM, swafoto - tidak dapat dengan mudah diubah atau dicabut.
Seorang analis berkomentar bahwa kebocoran ini merupakan pelanggaran privasi yang lebih ekstrem daripada insiden KYC biasa. "Ini bukan hanya kebocoran alamat," mereka mencatat. "Ini adalah bukti identitas biometrik yang dapat digunakan kembali untuk penipuan, deepfake, atau pemerasan."
Dengan ekosistem Web3 yang masih sangat bergantung pada bursa terpusat dan perantara kepatuhan untuk akses dan likuiditas, pengguna dan pendiri sama-sama menghadapi risiko yang meningkat terkait eksposur data KYC. Sementara protokol terdesentralisasi telah lama menonjolkan privasi dan kepemilikan sendiri sebagai prinsip utama, integrasi mereka dengan entitas yang diatur kembali memperkenalkan titik kegagalan tradisional.
Peretasan Terkenal
Peretasan Instagram Migos adalah bagian dari pola yang lebih luas di mana akun media sosial dengan visibilitas tinggi dieksploitasi untuk mendistribusikan konten berbahaya, mempromosikan koin palsu, atau membocorkan data sensitif. Dalam banyak kasus, peretas bertujuan untuk eksposur massal untuk mendorong pompa token atau penipuan. Kasus ini, bagaimanapun, menyimpang dengan terutama berfungsi sebagai alat pembalasan publik ketika permintaan pemerasan dilaporkan gagal.
Dalam beberapa bulan terakhir, pelanggaran media sosial terkait kripto termasuk:
- Kompromi akun resmi X SEC AS pada bulan Januari, yang secara keliru mengumumkan persetujuan ETF Bitcoin.
- Pelanggaran Maret akun X MicroStrategy, digunakan untuk mempromosikan token palsu yang menghasilkan enam digit dalam hitungan menit.
- Beberapa peretasan influencer Instagram untuk meluncurkan operasi penipuan berdasarkan meme coin pump-and-dumps.
Peneliti keamanan telah mencatat bahwa banyak dari serangan ini melibatkan kombinasi swap SIM, phishing, dan malware. Rekayasa sosial tetap menjadi salah satu alat paling efektif untuk mengompromikan bahkan individu yang paham teknologi, terutama ketika asisten pribadi, layanan penerusan email, atau akun perusahaan terlibat.
Celah Hukum
Meskipun skala dan implikasi dari insiden seperti ini, penegakan dan solusi hukum tetap terbatas. Sifat terdesentralisasi dari blockchain memungkinkan pelacakan transaksi menjadi mungkin, tetapi pemulihan aset sulit dilakukan. Sementara itu, platform seperti Instagram atau X memiliki kewajiban terbatas untuk memberi tahu pengikut atau mengkompensasi korban setelah akun diretas, kecuali jika data pribadi tambahan bocor di bawah undang-undang perlindungan data yurisdiksi tertentu.
Paparan data KYC pendiri blockchain juga dapat memiliki implikasi untuk tata kelola dan keamanan jaringan. Meskipun Solana sendiri tidak terlibat langsung, insiden tersebut menimbulkan kekhawatiran tentang serangan yang menargetkan figur publik dan potensi risiko reputasi dan operasional yang mereka perkenalkan ke protokol.
Meta, yang memiliki Instagram, belum mengeluarkan pernyataan publik tentang pelanggaran tersebut, meskipun ada sifat profil tinggi dari insiden ini dan potensi paparan informasi yang dapat diidentifikasi secara pribadi (PII) kepada jutaan pengguna. Gokal juga belum memberikan komentar publik yang rinci sejak publikasi.
Transparansi dari platform terpusat tetap tidak konsisten, dengan sebagian besar perusahaan teknologi besar hanya mengungkapkan pelanggaran jika diwajibkan oleh hukum atau ketika dampaknya menjadi jelas secara publik. Dalam ketiadaan pengungkapan terkoordinasi, pengguna harus bergantung pada penyelidik pihak ketiga seperti ZachXBT dan jurnalis independen untuk mendapatkan wawasan.
Pemikiran Akhir
Kebocoran informasi pribadi Raj Gokal melalui akun Instagram selebriti yang tidak terkait menyoroti lanskap ancaman yang lebih luas dalam ruang kripto: konvergensi kerentanan media sosial, penyimpanan data KYC terpusat, dan taktik pemerasan.
Meski Gokal mungkin tidak membayar tebusan 40 BTC, pelepasan publik dari materi identitas sensitifnya mewakili risiko pribadi dan profesional jangka panjang.
Peristiwa ini menambah daftar panjang serangan berbasis data di sektor blockchain dan mungkin memaksa pemimpin proyek dan investor untuk mengevaluasi kembali cara mereka mengelola identitas digital dan praktik keamanan mereka. Ini juga menyoroti perlunya kontrol yang lebih ketat di sekitar penyimpanan KYC pihak ketiga, dan praktik pengungkapan insiden yang lebih kuat dari platform yang menangani data pengguna.
Seiring industri semakin matang, pertanyaannya bukan hanya bagaimana mencegah eksploitasi blockchain, tetapi bagaimana mengurangi risiko off-chain yang semakin bersilangan dengan kepemilikan aset digital.