10 Pelanggaran Data Terbesar di Afrika Selatan [2026]
Pelajari tentang pelanggaran data terbesar di Afrika Selatan, mengapa negara ini menjadi target menarik bagi serangan siber, dan cara mencegahnya.
![10 Pelanggaran Data Terbesar di Afrika Selatan [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_id_blog_pelanggaran_data_afrika_selatan_5b3a194c594c_ca2f28bd7b.png&w=3840&q=75)
Halaman ini diterjemahkan secara otomatis. Baca versi asli berbahasa Inggris di sini.
Whitepaper Passkey Enterprise. Panduan praktis, pola peluncuran, dan KPI untuk program passkeys.
- Jigsaw Holdings menyebabkan pelanggaran terbesar dalam sejarah Afrika Selatan, mengekspos 60 juta catatan pribadi melalui server tanpa perlindungan kata sandi pada tahun 2017.
- Afrika Selatan mencatat 34,5 juta akun yang disusupi hanya pada K1 2024, menjadikannya negara paling terdampak kedua di Afrika untuk insiden siber.
- Kesalahan manusia bertanggung jawab atas 95% pelanggaran di Afrika Selatan, dengan pengelabuan (phishing), kata sandi yang lemah, dan rekayasa sosial sebagai penyebab utama.
- Satu pelanggaran rata-rata mencapai R53 juta pada tahun 2024, dengan insiden parah mencapai R360 juta. CSIR memperkirakan kerugian tahunan akibat pelanggaran di Afrika Selatan sebesar R2,2 miliar.
- Pelanggaran yang dilaporkan meningkat tiga kali lipat dari 500 pada 2022 menjadi lebih dari 1.700 pada 2023, dengan Regulator Informasi kini menerima lebih dari 150 notifikasi pelanggaran setiap bulan.
1. Pendahuluan#
Organisasi-organisasi di Afrika Selatan menghadapi epidemi pelanggaran data yang berkembang pesat. Hanya pada kuartal pertama tahun 2024 saja, lebih dari 34,5 juta akun lokal telah disusupi, menjadikan Afrika Selatan sebagai negara paling terdampak kedua di Afrika untuk insiden siber. Selama dua tahun terakhir, jumlah laporan pelanggaran data meningkat tiga kali lipat, dengan lebih dari 1.700 insiden dilaporkan pada 2023 dibandingkan dengan sekitar 500 pada 2022.
Regulator Informasi negara tersebut kini menerima lebih dari 150 notifikasi pelanggaran setiap bulan, yang merupakan peningkatan dramatis dari hanya 56 per bulan setahun sebelumnya. Di balik insiden-insiden ini terdapat pola yang mengkhawatirkan: 95% pelanggaran disebabkan oleh kesalahan manusia, sering kali melalui pengelabuan (phishing), rekayasa sosial, kata sandi yang lemah atau digunakan kembali, dan kesalahan-kesalahan lain yang sebenarnya dapat dihindari.
Secara finansial, kerusakannya sangat besar. Pada tahun 2024, biaya rata-rata dari satu pelanggaran mencapai R53 juta, dengan insiden paling parah menelan biaya hingga R360 juta. Secara nasional, Dewan Riset Ilmiah dan Industri (CSIR) memperkirakan biaya tahunan dari pelanggaran data mencapai R2,2 miliar.
Meskipun risiko ini terus meningkat, banyak organisasi yang masih kurang siap. Hanya 29% yang merencanakan untuk meningkatkan anggaran keamanan siber mereka secara signifikan pada tahun 2025, menyisakan celah perlindungan yang besar.
Dalam blog ini, kita akan melihat lebih dekat 10 pelanggaran data terbesar dan paling merusak di Afrika Selatan, apa yang memungkinkannya terjadi, dan pola apa yang dapat membantu mencegah gelombang insiden berikutnya.
2. Mengapa Afrika Selatan Menjadi Target yang Menarik untuk Pelanggaran Data?#
Peran Afrika Selatan yang terus berkembang sebagai pemimpin digital dan ekonomi di benua tersebut juga menjadikannya target prioritas tinggi untuk serangan siber. Beberapa karakteristik nasional berkontribusi terhadap meningkatnya jumlah pelanggaran data dan tingkat keparahan konsekuensinya. Di bawah ini adalah empat faktor utama yang mendorong tren ini:
2.1 Adopsi Digital dan Posisi Ekonomi yang Tinggi#
Infrastruktur digital yang maju di Afrika Selatan menjadikannya target utama bagi penjahat siber yang bermotif finansial dan penyerang yang disponsori negara. Dari layanan keuangan dan telekomunikasi hingga e-niaga dan pemerintahan, banyak sektor di Afrika Selatan yang sangat bergantung pada platform digital, memperluas permukaan serangan bagi aktor ancaman yang mencari celah untuk gangguan, spionase, atau keuntungan finansial.
2.2 Volume Besar Data Pribadi yang Dikumpulkan dan Dibagikan#
Organisasi di sektor publik maupun swasta mengumpulkan dan memproses data pribadi dalam jumlah besar, yang sering kali melampaui apa yang benar-benar diperlukan. Pengumpulan berlebihan ini, dikombinasikan dengan pembagian data pihak ketiga yang meluas dan mekanisme penolakan (opt-out) yang rumit, meningkatkan risiko pengeksposan. Satu tindakan pengguna, dapat mengakibatkan data mereka dibagikan di berbagai sistem, sehingga menciptakan beberapa potensi titik penyusupan.
2.3 Kesalahan Manusia dan Kurangnya Kesadaran Siber#
Kesalahan manusia tetap menjadi faktor dominan dalam pelanggaran data di Afrika Selatan, di mana hingga 95% insiden terkait dengan kesalahan yang dapat dihindari. Ini termasuk kebocoran data tak sengaja, kata sandi yang lemah, dan upaya pengelabuan (phishing) yang berhasil. Banyak perusahaan masih kurang memiliki pelatihan keamanan siber yang memadai, protokol respons insiden, dan kesadaran dasar di kalangan staf serta eksekutif, yang membuat mereka rentan bahkan terhadap serangan dengan upaya rendah.
2.4 Tantangan Legislatif dan Penegakan Hukum#
Walaupun Afrika Selatan telah menerapkan undang-undang perlindungan data utama seperti POPIA dan Undang-Undang Kejahatan Siber (Cybercrimes Act), penegakannya masih tidak konsisten. Sumber daya yang terbatas, tanggung jawab yang terfragmentasi, dan respons institusional yang lambat telah menciptakan celah dalam hal akuntabilitas.
Berlangganan Passkeys Substack kami untuk berita terbaru.
3. 10 Pelanggaran Data Terbesar di Afrika Selatan#
Dalam bab ini, kita akan melihat lebih dekat pelanggaran data paling signifikan di Afrika Selatan hingga saat ini. Masing-masing insiden ini mengekspos data sensitif dalam jumlah besar, menyebabkan kerusakan reputasi atau finansial yang berkepanjangan, dan mengungkap kelemahan keamanan kritis yang bisa menjadi pelajaran bagi organisasi lain. Pelanggaran-pelanggaran disajikan dalam urutan menurun berdasarkan dampaknya, dengan fakta-fakta kunci, ringkasan tentang apa yang terjadi, dan wawasan yang dapat ditindaklanjuti tentang bagaimana setiap insiden dapat dicegah.
3.1 Pelanggaran Data Master Deeds / Jigsaw Holdings (2017)#
| Detail | Informasi |
|---|---|
| Tanggal | Oktober 2017 (diungkapkan pada Oktober 2017) |
| Individu yang Terdampak | Lebih dari 60 juta |
| Data yang Dibobol | - Nama lengkap - Nomor ID Afrika Selatan - Data kepemilikan properti dan hipotek - Detail pendapatan dan pekerjaan - Alamat fisik |
| Metode Serangan | Server web publik yang salah dikonfigurasi |
| Sektor | Real Estat / Layanan Properti |
Pada bulan Oktober 2017, seorang peneliti keamanan siber menemukan sejumlah besar data pribadi di server web yang tidak dilindungi milik sebuah firma data real estat di Afrika Selatan, yang kemudian dikaitkan dengan Jigsaw Holdings, perusahaan induk dari Master Deeds. Pelanggaran ini secara luas dianggap sebagai yang terbesar dalam sejarah Afrika Selatan, dengan lebih dari 60 juta catatan pribadi diekspos (termasuk data tentang individu yang telah meninggal, anak di bawah umur, dan tokoh publik terkenal).
Basis data yang terekspos mencakup informasi terperinci seperti nomor ID, riwayat pekerjaan, estimasi pendapatan, detail kepemilikan rumah, dan valuasi properti. Hal yang mengkhawatirkan, server tersebut tidak memiliki perlindungan kata sandi dan dapat diakses oleh siapa saja dengan URL langsung. Data tersebut disimpan dalam teks biasa (plain text) dan diindeks oleh mesin pencari, yang berarti kemungkinan telah dapat diakses publik selama berbulan-bulan sebelum ditemukan.
Meskipun akses tersebut dengan cepat ditutup segera setelah dilaporkan, kerusakannya telah terjadi. Pakar keamanan menyuarakan kekhawatiran bahwa kumpulan data tersebut dapat digunakan untuk pencurian identitas, penipuan finansial, dan penipuan pengelabuan (phishing) bertarget untuk tahun-tahun mendatang. Insiden tersebut memicu kemarahan publik dan memberikan tekanan pada otoritas pemerintah untuk mempercepat penerapan undang-undang perlindungan data Afrika Selatan, POPIA, yang belum ditegakkan pada saat itu.
Metode pencegahan:
-
Terapkan kontrol akses yang ketat dan perlindungan kata sandi pada semua server yang menghadap eksternal.
-
Lakukan audit infrastruktur secara berkala terhadap risiko miskonfigurasi dan pengeksposan publik.
-
Enkripsi data sensitif saat istirahat (at rest) untuk mengurangi dampak bahkan jika terjadi pelanggaran.
3.2 Pelanggaran Data Experian (2020)#
| Detail | Informasi |
|---|---|
| Tanggal | Agustus 2020 (diungkapkan pada Agustus 2020) |
| Individu yang Terdampak | ~24 juta warga Afrika Selatan; 793.749 bisnis |
| Data yang Dibobol | - Nama - Nomor identitas - Nomor telepon dan alamat email - Detail pendaftaran bisnis |
| Metode Serangan | Rekayasa sosial / Penyamaran |
| Sektor | Biro Kredit / Layanan Keuangan |
Pada bulan Agustus 2020, biro kredit global Experian mengungkapkan pelanggaran data signifikan yang mengekspos informasi pribadi dan bisnis dari sekitar 24 juta individu di Afrika Selatan dan hampir 800.000 bisnis lokal. Penyerang menyamar sebagai klien yang sah dan berhasil mengelabui Experian agar menyerahkan data konsumen dan komersial secara massal.
Informasi yang bocor termasuk nama, nomor identitas, dan detail kontak, meskipun Experian mengklaim bahwa tidak ada data terkait keuangan atau kredit yang disusupi. Meskipun demikian, data yang diekspos memiliki nilai yang tinggi bagi penipu, karena dapat digunakan dalam pengelabuan (phishing), pencurian identitas, dan skema penyamaran bisnis.
Penyerang tersebut kemudian diidentifikasi dan data tersebut dilaporkan telah diamankan sebelum didistribusikan secara luas, tetapi insiden ini tetap menimbulkan kekhawatiran tentang betapa mudahnya data sensitif dapat diekstraksi melalui sarana nonteknis. Pelanggaran ini mendorong pengawasan yang lebih ketat terhadap proses verifikasi klien di sektor keuangan dan tuntutan untuk kontrol yang lebih ketat atas akses terhadap kumpulan data konsumen secara massal.
Metode pencegahan:
-
Menerapkan prosedur verifikasi identitas yang ketat sebelum merilis data sensitif ke klien.
-
Memberikan pelatihan karyawan secara berkala untuk mengenali dan merespons upaya rekayasa sosial.
-
Membatasi volume data yang dapat dibagikan atau diekspor dalam satu transaksi.
3.3 Pelanggaran Data Cell C (2024)#
| Detail | Informasi |
|---|---|
| Tanggal | Februari 2024 (diungkapkan pada Maret 2024) |
| Individu yang Terdampak | 7,7 juta pelanggan |
| Data yang Dibobol | - Nama lengkap - Nomor ID Afrika Selatan - Detail perbankan dan keuangan - Informasi kontak - Metadata kartu SIM dan jaringan |
| Volume Data | ~2 terabita |
| Metode Serangan | Akses eksternal tidak sah / intrusi jaringan |
| Sektor | Telekomunikasi |
Pada awal tahun 2024, operator jaringan seluler Afrika Selatan Cell C mengalami pelanggaran data di mana peretas mengeksfiltrasi sekitar 2 terabita data sensitif yang terhubung ke basis pelanggannya sebanyak 7,7 juta pengguna. Data yang dicuri mencakup campuran informasi pribadi, kontak, dan keuangan yang berbahaya seperti nomor ID, detail perbankan, dan metadata SIM.
Setelah mendapatkan akses tanpa izin ke sistem internal, penyerang membocorkan sebagian dari data secara daring, yang dengan cepat menarik perhatian publik dan regulator. Pelanggaran penuh diungkapkan beberapa minggu kemudian, dan investigasi mengungkapkan bahwa serangan tersebut kemungkinan besar mengeksploitasi kerentanan pada keamanan jaringan internal Cell C dan kurang memadainya segmentasi data sensitif.
Pelanggaran tersebut menimbulkan risiko parah terjadinya pencurian identitas, pertukaran SIM, dan penipuan perbankan, terutama mengingat besarnya volume dan sensitivitas informasi yang bocor. Cell C menghadapi reaksi publik karena penundaan pengungkapan publik, sehingga memicu kembali perdebatan tentang undang-undang notifikasi pelanggaran dan akuntabilitas keamanan siber di sektor telekomunikasi.
Metode pencegahan:
-
Segmen sistem internal dan batasi akses ke data keuangan dan identitas sensitif.
-
Terapkan alat deteksi intrusi dan pemantauan eksfiltrasi data di seluruh infrastruktur inti.
-
Enkripsi semua data pelanggan berisiko tinggi saat beristirahat dan dalam transit untuk meminimalkan paparan jika terjadi pelanggaran.
3.4 Pelanggaran Data Dis-Chem (2022)#
| Detail | Informasi |
|---|---|
| Tanggal | Mei 2022 (diungkapkan pada Mei 2022) |
| Individu yang Terdampak | 3,6 juta pelanggan |
| Data yang Dibobol | - Nama lengkap - Alamat email - Nomor telepon |
| Metode Serangan | Akses tidak sah melalui penyedia layanan pihak ketiga |
| Sektor | Ritel / Perawatan Kesehatan / Farmasi |
Pada bulan Mei 2022, Dis-Chem, jaringan apotek terbesar kedua di Afrika Selatan, mengungkapkan adanya pelanggaran data yang berdampak pada 3,6 juta pelanggan. Pelanggaran tersebut terjadi melalui penyedia layanan pihak ketiga yang bertanggung jawab menangani komunikasi pelanggan atas nama Dis-Chem.
Pihak tidak sah mendapatkan akses ke basis data yang berisi nama, alamat email, dan nomor telepon pelanggan. Walaupun dilaporkan tidak ada catatan medis atau data keuangan yang terlibat, sifat dari informasi yang dikompromikan masih membuat pelanggan rentan terhadap pengelabuan (phishing), penipuan, dan pencurian identitas.
Insiden tersebut menyoroti risiko dari mengandalkan vendor eksternal tanpa pengawasan yang kuat, serta pentingnya mengamankan semua data pelanggan. Dis-Chem melaporkan insiden ini ke Regulator Informasi dan memulai investigasi internal serta eksternal untuk menilai cakupan penuh dari pelanggaran tersebut.
Metode pencegahan:
-
Lakukan penilaian keamanan secara rutin terhadap vendor pihak ketiga yang memiliki akses ke data pelanggan.
-
Terapkan persyaratan perlindungan data kontraktual dan pemantauan kepatuhan vendor.
-
Terapkan enkripsi dan kontrol akses bahkan untuk bagian data yang tampaknya berisiko rendah.
3.5 Pelanggaran Data ViewFines (2018)#
| Detail | Informasi |
|---|---|
| Tanggal | September 2018 (diungkapkan pada Oktober 2018) |
| Individu yang Terdampak | ~934.000 pengemudi |
| Data yang Dibobol | - Nama lengkap - Alamat email - Nomor telepon - Kata sandi terenkripsi |
| Metode Serangan | Server cadangan tidak diamankan (miskonfigurasi) |
| Sektor | Transportasi / Layanan Pemerintah |
Pada akhir tahun 2018, para peneliti menemukan bahwa ViewFines, sebuah platform yang digunakan oleh pengemudi di Afrika Selatan untuk melacak denda lalu lintas secara daring, telah membiarkan server cadangan yang tidak diamankan dapat diakses publik, mengekspos hampir satu juta data pengguna. Server tersebut berisi informasi sensitif seperti nama, detail kontak, dan kata sandi yang di-hash.
Basis data yang terekspos tidak memiliki autentikasi atau enkripsi, yang memungkinkan siapa saja dengan alamat IP server tersebut untuk mengunduh informasinya. Sementara kata sandi telah dienkripsi, para ahli keamanan memperingatkan bahwa mereka masih bisa dipecahkan menggunakan teknik-teknik umum, terutama jika pilihan kata sandi yang digunakan tergolong lemah.
Pelanggaran tersebut menimbulkan kekhawatiran tentang keamanan layanan yang berkaitan dengan sektor publik yang menangani data warga negara, terutama mengingat meningkatnya ketergantungan pada portal digital untuk tugas-tugas terkait pemerintah. Perusahaan tersebut kemudian mengamankan servernya dan berjanji untuk meningkatkan praktik-praktik perlindungan datanya.
Metode pencegahan:
-
Amankan server cadangan dengan autentikasi yang kuat dan batasi akses internet publik.
-
Lakukan audit dan pantau secara berkala infrastruktur on-premise maupun cloud dari risiko paparan.
-
Terapkan standar hashing kata sandi yang kuat (misalnya bcrypt) dan dorong penggunaan kredensial pengguna yang aman.
Lihat berapa banyak orang yang benar-benar memakai passkeys.
3.6 Pelanggaran Data Departemen Kehakiman dan Pengembangan Konstitusi (2021)#
| Detail | Informasi |
|---|---|
| Tanggal | September 2021 (diungkapkan pada September 2021) |
| Catatan yang Terdampak | 1.200+ file rahasia (perkiraan) |
| Data yang Dibobol | - Detail identifikasi pribadi - Informasi keuangan dan perbankan - Catatan terkait hukum dan kasus |
| Metode Serangan | Serangan ransomware |
| Sektor | Pemerintah / Layanan Hukum |
Pada bulan September 2021, Departemen Kehakiman dan Pengembangan Konstitusi Afrika Selatan mengalami serangan ransomware yang sangat mengganggu operasi-operasi pemerintah yang penting. Serangan ini mengenkripsi sistem internal, melumpuhkan layanan seperti email, sistem pengajuan pengadilan, dan pemrosesan pembayaran selama beberapa minggu.
Meskipun cakupan penuh dari paparan data tidak pernah dikonfirmasi secara resmi, para penyelidik mencatat bahwa lebih dari 1.200 file rahasia kemungkinan telah diakses, yang mana banyak di antaranya berisi data pribadi dan keuangan yang sensitif, serta informasi yang terkait dengan proses hukum yang sedang berlangsung.
Insiden tersebut menyoroti kerentanan pada infrastruktur kritis pemerintah, termasuk kurang memadainya perlindungan titik akhir dan kurangnya redundansi sistem secara luring. Sidang pengadilan dan pembayaran hibah sosial tertunda akibatnya, sehingga memicu kekhawatiran nasional atas ketahanan layanan publik digital di Afrika Selatan.
Metode pencegahan:
-
Terapkan sistem pemulihan bencana dan pencadangan luring yang aman untuk infrastruktur kritis.
-
Gunakan perlindungan titik akhir tingkat perusahaan dan perangkat lunak anti-ransomware di semua perangkat.
-
Lakukan uji penetrasi dan perkuatan sistem secara rutin di lingkungan sektor publik yang berisiko tinggi.
3.7 Pelanggaran Data Ster-Kinekor (2017)#
| Detail | Informasi |
|---|---|
| Tanggal | Januari 2017 (diungkapkan pada Maret 2017) |
| Individu yang Terdampak | Hingga 7 juta pelanggan |
| Data yang Dibobol | - Nama lengkap - Alamat email - Kata sandi teks biasa - Nama pengguna dan kredensial masuk |
| Metode Serangan | Aplikasi web tidak aman / API yang terekspos |
| Sektor | Hiburan / Bioskop / Ritel |
Pada awal tahun 2017, kerentanan serius pada platform daring Ster-Kinekor mengekspos data pribadi dari hingga 7 juta pelanggan, termasuk kata sandi dalam teks biasa (plain-text). Celah ini ditemukan di endpoint API tidak aman yang memungkinkan akses tak terautentikasi ke catatan pengguna dari sistem pemesanan jaringan bioskop tersebut.
Peneliti keamanan melaporkan bahwa basis data tersebut tidak hanya berisi alamat email dan nama pengguna, tetapi juga kata sandi yang disimpan dalam format teks biasa yang tidak dienkripsi. Sementara Ster-Kinekor bertindak cepat untuk mematikan sistem yang rentan tersebut, insiden ini menyoroti bagaimana praktik-praktik keamanan dasar telah diabaikan, terutama seputar penanganan kata sandi dan perlindungan API.
Pelanggaran ini menjadi salah satu peringatan paling awal di Afrika Selatan untuk menerapkan penanganan data yang lebih baik dalam aplikasi yang menghadap konsumen, khususnya di sektor ritel dan hiburan.
Metode pencegahan:
-
Simpan semua kata sandi menggunakan algoritma hashing yang kuat seperti bcrypt atau Argon2.
-
Secara rutin uji API dan aplikasi web terhadap celah autentikasi dan otorisasi.
-
Terapkan validasi input yang ketat, pembatasan permintaan (rate limiting), dan kontrol akses untuk semua titik akhir yang menghadap pengguna.
3.8 Pelanggaran Data Eskom (2020)#
| Detail | Informasi |
|---|---|
| Tanggal | Januari 2020 (diungkapkan pada Februari 2020) |
| Volume Data Terdampak | Tidak diketahui (potensi kebocoran) |
| Data yang Dibobol | - Catatan karyawan - Detail akun pelanggan - Dokumen internal dan data operasional |
| Metode Serangan | Infeksi malware / dugaan kebocoran internal |
| Sektor | Energi / Utilitas |
Pada awal tahun 2020, Eskom, penyedia listrik nasional Afrika Selatan, mengonfirmasi adanya infeksi malware pada sistem TI-nya, yang mengganggu operasi dan memicu kekhawatiran atas kemungkinan terjadinya kebocoran data yang signifikan. Meskipun Eskom awalnya melaporkan bahwa insiden ini telah ditangani, peneliti keamanan siber kemudian mengidentifikasi adanya folder yang dapat diakses publik secara daring, yang diduga terkait dengan Eskom, berisi dokumen internal sensitif, catatan karyawan, dan informasi pelanggan.
Pelanggaran ini menarik perhatian publik karena peran Eskom sebagai operator infrastruktur kritis, dengan kekhawatiran atas stabilitas pasokan energi nasional dan potensi penyalahgunaan data yang bocor. Perusahaan tersebut tidak mengonfirmasi cakupan penuh dari paparan ini, namun kombinasi dari infeksi malware dan buruknya praktik penanganan data internal menunjukkan adanya kelemahan dalam perlindungan titik akhir dan tata kelola akses.
Insiden ini menekankan meningkatnya risiko serangan siber yang menargetkan utilitas, khususnya bila terdapat penggunaan sistem usang (legacy) dan program keamanan siber yang kurang didanai.
Metode pencegahan:
-
Terapkan alat pendeteksian dan respons titik akhir (EDR) yang kuat di semua sistem korporat.
-
Batasi paparan data internal melalui kontrol akses berbasis peran dan audit izin akses secara rutin.
-
Amankan dan pantau layanan berbagi file untuk mencegah publikasi data eksternal tanpa izin.
3.9 Pelanggaran Data Kotamadya eThekwini (2016)#
| Detail | Informasi |
|---|---|
| Tanggal | Oktober 2016 (diungkapkan pada November 2016) |
| Individu yang Terdampak | ~100.000 pemegang akun kota |
| Data yang Dibobol | - Nomor ID Afrika Selatan - Alamat fisik - Nama lengkap - Nomor telepon dan alamat email |
| Metode Serangan | Kerentanan situs web / referensi objek langsung yang tidak aman (IDOR) |
| Sektor | Pemerintah / Layanan Kota |
Pada akhir tahun 2016, celah keamanan di sistem penagihan daring Kotamadya eThekwini mengekspos detail pribadi dari hampir 100.000 pemegang akun. Kerentanan ini, yang ditemukan oleh seorang peneliti lokal, memungkinkan siapa saja untuk memanipulasi URL dan mengakses data penagihan pengguna lain tanpa adanya autentikasi.
Informasi yang bocor termasuk nama, nomor ID, alamat fisik, dan detail kontak, sehingga menimbulkan kekhawatiran tentang privasi, terutama mengingat platform tersebut telah dapat diakses publik selama berbulan-bulan sebelum masalah ini ditangani. Pelanggaran ini dianggap sangat serius karena memengaruhi catatan yang diterbitkan pemerintah dan menunjukkan kurangnya kebersihan keamanan dasar (security hygiene) pada sistem yang berhadapan dengan warga.
Pemerintah kota menghentikan sementara sistem yang terdampak dan kemudian menerapkan perbaikan, tetapi kasus ini menyoroti risiko dari kontrol akses yang lemah dan pengujian kerentanan yang tidak memadai pada platform digital pemerintah.
Metode pencegahan:
-
Lakukan pemindaian kerentanan dan pengujian penetrasi secara berkala untuk seluruh aplikasi yang menghadap publik.
-
Terapkan praktik pemrograman yang aman dan berlakukan autentikasi pada endpoint-endpoint sensitif.
-
Gunakan validasi input dan mekanisme kontrol akses untuk mencegah serangan referensi objek langsung (direct object reference attacks).
3.10 Pelanggaran Data Pam Golding Properties (2025)#
| Detail | Informasi |
|---|---|
| Tanggal | April 2025 (diungkapkan pada April 2025) |
| Individu yang Terdampak | Tidak diungkapkan (termasuk individu dengan kekayaan bersih tinggi) |
| Data yang Dibobol | - Nama lengkap - Detail kontak - Kepemilikan properti dan data valuasi - Afiliasi bisnis dan catatan klien |
| Metode Serangan | Akses tak sah ke basis data pelanggan |
| Sektor | Real Estat / Layanan Properti Kelas Atas |
Pada bulan April 2025, Pam Golding Properties, salah satu firma real estat kelas atas terkemuka di Afrika Selatan, mengalami pelanggaran data yang melibatkan akses tak sah ke basis data kliennya. Meskipun jumlah pasti individu yang terdampak tidak dipublikasikan, pelanggaran tersebut menarik perhatian nasional akibat sifat klien yang sensitif, yang mencakup para pemimpin bisnis terkemuka, tokoh politik, dan investor internasional.
Data yang disusupi mencakup detail kontak, pengenal pribadi, riwayat transaksi properti, serta potensi informasi bisnis rahasia yang terkait dengan portofolio real estat para klien. Pelanggaran ini memicu kekhawatiran serius seputar penipuan tertarget, penipuan real estat, dan risiko reputasi, terutama dalam sektor yang menangani transaksi bernilai tinggi dan data kekayaan pribadi.
Pam Golding mengonfirmasi terjadinya pelanggaran tersebut dan menyatakan telah memulai penyelidikan, menginformasikan regulator, serta mulai memberi tahu klien yang terdampak. Akan tetapi, insiden ini menyoroti betapa platform-platform real estat (khususnya yang berurusan dengan pelanggan makmur) bisa menjadi target kejahatan siber yang sangat menggiurkan bila tidak memiliki kontrol akses yang tepat dan perlindungan basis data yang memadai.
Metode pencegahan:
-
Enkripsi seluruh data klien, terutama catatan properti dan keuangan, baik saat istirahat (at rest) maupun saat berpindah (in transit).
-
Terapkan autentikasi multi-faktor bagi seluruh staf yang mengakses basis data sensitif.
-
Lakukan audit akses dan pendeteksian anomali secara berkala untuk mengenali akses data tidak sah lebih awal.
Coba passkeys dalam demo live.
4. Pola Umum dalam Pelanggaran Data di Afrika Selatan#
Tinjauan atas pelanggaran-pelanggaran data terbesar di Afrika Selatan mengungkap pola-pola yang jelas tentang bagaimana dan mengapa insiden-insiden tersebut terjadi. Meskipun setiap kasus memiliki keunikan teknisnya sendiri, banyak yang memiliki kesamaan akar penyebab, yang menunjukkan masalah struktural yang lebih luas di berbagai sektor. Di bawah ini adalah tiga tema berulang yang harus sangat diwaspadai oleh berbagai organisasi:
4.1 Fondasi Digital yang Tidak Aman#
Faktor persekutuan umum di banyak pelanggaran adalah ketiadaan kebersihan keamanan dasar dalam sistem-sistem TI fundamental. Server yang salah konfigurasi, API yang terekspos, dan mekanisme autentikasi yang usang kerap menciptakan celah terbuka bagi para penyerang. Dalam banyak kasus, data sensitif disimpan tanpa enkripsi atau dilindungi oleh kredensial bawaan, sehingga eksploitasinya menjadi sepele saat ditemukan. Berbagai kelemahan ini menunjukkan bahwa banyak organisasi yang masih memperlakukan keamanan sebagai sekadar fitur tambahan alih-alih prinsip desain inti.
4.2 Eksposur Berlebihan pada Data Pribadi#
Organisasi-organisasi di Afrika Selatan kerap mengumpulkan dan menyimpan informasi pribadi jauh lebih banyak daripada yang diperlukan (sering kali menyimpan nama, nomor identitas, detail kontak, serta catatan keuangan di dalam sistem terpusat). Pengumpulan berlebihan ini, dipadukan dengan kebijakan minimalisasi data yang buruk, meningkatkan secara signifikan area permukaan serangan. Bahkan saat yang disusupi hanyalah catatan parsial, data yang terpapar sering kali sudah cukup untuk memfasilitasi terjadinya penipuan maupun penyamar identitas. Tanpa pembatasan yang lebih ketat atas data apa yang dikumpulkan dan seberapa lama data tersebut dipertahankan, risiko pengeksposan akan tetap tinggi.
4.3 Budaya Keamanan Reaktif alih-alih Proaktif#
Banyak insiden yang menunjukkan bahwa keamanan siber di Afrika Selatan masih cenderung reaktif. Banyak organisasi sering kali tidak memiliki rancangan respons insiden yang formal, pemantauan waktu-nyata, serta pengujian keamanan secara berkala. Pelanggaran-pelanggaran acap kali ditemukan oleh pihak-pihak eksternal, seperti para peneliti keamanan ataupun jurnalis, ketimbang oleh sistem-sistem internal. Postur reaktif ini menunda upaya penahanan sekaligus melipatgandakan dampak kerusakan. Membangun sebuah budaya keamanan yang matang mensyaratkan tidak hanya sekadar berbagai kontrol teknis, namun juga kesadaran dari jajaran eksekutif, evaluasi risiko yang dilakukan terus-menerus, serta pelatihan reguler di seluruh departemen yang ada.
Dapatkan assessment passkey gratis dalam 15 menit.
5. Kesimpulan#
Pelanggaran data di Afrika Selatan bertumbuh tidak hanya dalam jumlah, tapi juga dalam tingkat keparahan, kecanggihan, dan dampak finansialnya. Dari real estat dan telekomunikasi hingga ke pemerintahan serta sektor ritel, tak satu pun sektor yang kebal. Pelanggaran-pelanggaran yang ditinjau di artikel ini menunjukkan bahwasanya banyak di antara insiden-insiden tersebut yang sejatinya dapat dihindari lewat praktik kebersihan digital yang lebih baik, pengelolaan data yang lebih ketat, serta pola pikir keamanan yang lebih berorientasi pada sikap proaktif.
Seiring ancaman siber yang terus berevolusi, organisasi-organisasi di Afrika Selatan wajib menyadari bahwa kepatuhan semata tidaklah cukup. Ketangguhan sejati bersumber dari upaya memperlakukan keamanan sebagai sebuah proses yang berkesinambungan, proses yang ditanamkan hingga ke dalam berbagai sistem, individu, dan kebijakan sejak dari dasarnya.
Tentang Corbado
Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →
Pertanyaan yang Sering Diajukan (FAQ)#
Apa yang membuat pelanggaran data Cell C pada tahun 2024 sangat berbahaya bagi konsumen Afrika Selatan?#
Pelanggaran Cell C tahun 2024 mengeksfiltrasi sekitar 2 terabita data dari 7,7 juta pelanggan, termasuk nomor ID, detail perbankan, dan metadata kartu SIM. Kombinasi data keuangan dan telekomunikasi menciptakan risiko langsung untuk pertukaran SIM (SIM swapping) dan penipuan perbankan, dan Cell C menghadapi reaksi tambahan karena penundaan pengungkapan publik.
Bagaimana pelanggaran Experian Afrika Selatan mengekspos 24 juta orang tanpa peretasan teknis apa pun?#
Seorang penyerang menyamar sebagai klien yang sah dan membujuk Experian untuk merilis data konsumen massal yang mencakup sekitar 24 juta warga Afrika Selatan dan 793.749 bisnis. Tidak ada sistem yang disusupi secara teknis; pelanggaran ini mengeksploitasi lemahnya proses verifikasi identitas klien pada saat perilisan data.
Kegagalan keamanan apa yang paling sering muncul di seluruh pelanggaran data terbesar di Afrika Selatan?#
Tiga pola mendominasi pelanggaran besar di Afrika Selatan: server yang salah dikonfigurasi dan API yang terekspos yang membiarkan data dapat diakses publik, pengumpulan berlebihan data pribadi yang menciptakan target pusat yang besar, dan budaya keamanan reaktif di mana pelanggaran ditemukan oleh peneliti eksternal alih-alih pemantauan internal. Hanya 29% organisasi yang merencanakan peningkatan anggaran keamanan siber yang signifikan untuk tahun 2025.
Mengapa serangan ransomware Departemen Kehakiman menyebabkan gangguan yang begitu luas di Afrika Selatan pada tahun 2021?#
Serangan ransomware ini mengenkripsi sistem internal dan melumpuhkan pengajuan pengadilan, email, dan pemrosesan pembayaran selama beberapa minggu, dengan lebih dari 1.200 file rahasia yang berpotensi diakses. Gangguan ini mengungkap bahwa layanan penting pemerintah tidak memiliki sistem cadangan luring dan perlindungan titik akhir (endpoint protection) yang memadai terhadap ransomware.
Bagikan artikel ini
Artikel terkait
![10 Biggest Data Breaches in South Korea [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_south_korea_39e958752020_bdb135e532.png&w=3840&q=75)
![10 Biggest Data Breaches in the UK [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_UK_e8d54fe5c3a2_02db7dc27b.png&w=3840&q=75)
![10 Biggest Data Breaches in India [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_India_a2a0d945eac3_2dec377a52.png&w=3840&q=75)
![10 Biggest Data Breaches in the USA [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_usa_27d821dfe2e0_c8b0725222.png&w=3840&q=75)
![11 Biggest Data Breaches in Canada [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_canada_825cf0027a73_b911a40314.png&w=3840&q=75)
Daftar isi