Polisi mengungkap kasus penyalahgunaan data pribadi pelanggan Ninja Xpress yang dilakukan oleh oknum karyawannya. Kejadian ini terungkap setelah ratusan pelanggan mengeluhkan transaksi mencurigakan terkait pembelian online melalui TikTok Shop.
Modus operandi para pelaku cukup canggih, memanfaatkan celah sistem dan data pelanggan untuk mendapatkan keuntungan finansial. Akibatnya, Ninja Xpress mengalami kerugian materiil dan non-materiil yang cukup signifikan.
Pengungkapan Kasus Akses Ilegal Data Ninja Xpress
Direktorat Reserse Siber Polda Metro Jaya berhasil mengungkap kasus akses ilegal data pribadi pelanggan Ninja Xpress yang terjadi antara Desember 2024 hingga Januari 2025. Tiga orang telah ditetapkan sebagai tersangka, sementara satu orang lainnya masih dalam pencarian.
Kasus ini terungkap berawal dari laporan sekitar 100 pelanggan yang mengalami masalah dengan pembelian online via TikTok Shop menggunakan jasa pengiriman Ninja Xpress dengan metode pembayaran Cash On Delivery (COD).
Audit internal Ninja Xpress menemukan 294 pengiriman COD yang selesai jauh lebih cepat dari waktu standar tujuh hari. Hal ini mengindikasikan adanya penyalahgunaan akses data oleh oknum karyawan.
Modus Operandi dan Kerugian yang Ditimbulkan
Oknum karyawan Ninja Xpress di kantor Lengkong, Bandung, Jawa Barat, memanfaatkan akses ke sistem OpV2 untuk “unmasking” data pelanggan. Data yang dicuri meliputi nama, jumlah pesanan, jenis pesanan, alamat, nomor telepon, dan biaya COD.
Data tersebut kemudian dijual kepada pihak luar yang selanjutnya meniru transaksi COD dengan mengirim paket palsu kepada pelanggan. Pelaku menerima pembayaran COD, yang mencakup ongkos kirim dan harga barang.
Akibatnya, Ninja Xpress mengalami kerugian materiil sekitar Rp35,2 juta. Selain itu, perusahaan juga mengalami kerugian imateriil berupa hilangnya kepercayaan dari TikTok Shop dan masyarakat.
Tersangka dan Sanksi Hukum
Dua tersangka, berinisial T dan MFB, berhasil ditangkap pada 5 Mei 2025 di Bandung dan Cirebon. Tersangka G masih menjadi buronan.
Para tersangka dijerat dengan Pasal 46 juncto Pasal 30 Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE), atau Pasal 48 juncto Pasal 32 UU ITE.
Ancaman hukumannya adalah penjara maksimal delapan tahun dan denda maksimal Rp2 miliar. Kasus ini menjadi peringatan penting bagi perusahaan untuk meningkatkan keamanan data pelanggan dan mencegah akses ilegal.
Kasus ini menyoroti pentingnya proteksi data pelanggan dan pengawasan ketat terhadap akses karyawan terhadap sistem internal. Semoga kasus ini menjadi pelajaran berharga bagi perusahaan lain untuk lebih memperketat sistem keamanan data dan memberikan pelatihan yang memadai kepada karyawannya.
