Bagaimana 10.000 Data Konsumen Ninja Xpress Bisa Bocor? Ini Kronologinya

Kasus kebocoran data 10.000 konsumen Ninja Xpress mengejutkan publik.

Selama Desember 2024 hingga Januari 2025, ribuan data bocor dan menyebabkan 294 konsumen menerima paket aneh berisi kain perca, sampah, atau koran yang membuat bobotnya terasa berat.

Namun, bagaimana sebenarnya kebocoran ini terjadi?

Bukan Ulah Hacker, tapi Penyalahgunaan Internal

Chief Marketing Officer (CMO) Ninja Xpress, Andi Junardi Juarsa, menegaskan bahwa kasus ini bukan disebabkan peretasan (hacker) atau kelemahan sistem IT perusahaan.

“Tidak ada urusannya dengan hacker dan sistem IT kami karena memang setiap station itu ada stakeholder atau pihak-pihak kami yang memiliki akses terhadap data untuk ke mana barang itu dikirimkan. Ini murni penyalahgunaan data,” ujar Andi dalam konferensi pers di Polda Metro Jaya, Jumat (11/7/2025).

Audit internal yang dilakukan Ninja Xpress menemukan bahwa pelaku adalah pekerja harian lepas berinisial T di kantor cabang Lengkong, Kota Bandung.

T memanfaatkan kelengahan karyawan yang memiliki akses resmi untuk menyusup ke sistem.

“Pada saat karyawan yang mempunyai akses terhadap sistem ini lengah, dia (T) melakukan akses, melakukan infiltrasi terhadap akses rahasia tersebut,” jelas Kasubdit III Direktorat Reserse Siber Polda Metro Jaya, AKBP Rafles Langgak Putra Marpaung.

Melalui akses ilegal ini, T memperoleh data sensitif seperti nama pemesan, jumlah pesanan, jenis barang, alamat pengiriman, nomor ponsel, hingga nominal pembayaran.

Siapa Otak di Balik Pencurian Data?

Penyidikan polisi mengungkap, otak dari skema ini adalah pria berinisial G, yang kini berstatus buron (DPO).

G memerintahkan mantan kurir Ninja Xpress, FMB, untuk mencari akses ke data konsumen. Karena FMB tidak punya akses langsung, ia melibatkan T.

Dari setiap data yang berhasil dicuri, pembagian keuntungannya adalah:

• Rp 1.500 per data untuk T
• Rp 1.000 per data untuk FMB
• Rp 2.500 per data dijanjikan oleh G sebagai bayaran total

Total, T menerima sekitar Rp 15 juta, sedangkan FMB mengantongi Rp 10 juta.

Menariknya, para pelaku tidak menggunakan jasa Ninja Xpress untuk mengirimkan paket palsu.

Sebaliknya, mereka mencetak resi mirip milik Ninja Xpress (tanpa logo resmi) dan menggunakan ekspedisi lain.

Untungnya, paket asli tetap aman di gudang dan tetap diproses sesuai jalur.

Ancaman Lebih Besar: Potensi Penyalahgunaan Data

Wakil Direktur Siber Polda Metro Jaya, AKBP Fian Yunus, mengingatkan bahwa meski pelanggan belum mengalami kerugian langsung, data pribadi yang dicuri berpotensi dijual dan disalahgunakan untuk kejahatan lain, seperti penipuan.

“Perkara ini juga bisa nantinya akan menjadi perkara penipuan. Karena adanya data pribadi konsumen yang diambil dan dijual oleh pelaku,” ujar Fian.

Saat ini, T dan FMB sudah ditangkap polisi. Mereka dijerat dengan Pasal 46 jo Pasal 30 dan Pasal 48 jo Pasal 32 UU Nomor 1 Tahun 2024 tentang Perubahan Kedua atas UU Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.

Komitmen Ninja Xpress Memperkuat Keamanan

Menanggapi kasus ini, manajemen Ninja Xpress menyatakan prihatin dan berjanji memperkuat pengamanan data.

“Setelah menemukan indikasi anomali akses terhadap data internal, kami segera menginvestigasi dan langsung melaporkan kasus ini ke pihak kepolisian,” tegas Andi.

“Ini membuktikan perlindungan konsumen dan keamanan data pribadi adalah tanggung jawab kita bersama,” lanjutnya.

Perusahaan juga menyatakan komitmennya untuk meningkatkan pengawasan internal agar kejadian serupa tidak terulang.

Sebagian artikel ini telah tayang di Kompas.com dengan judul , "Bukan Ulah Hacker, Ini Sosok di Balik Pencurian Data Konsumen Ninja Xpress", dan "10.000 Data Konsumen Ninja Xpress Bocor, Pelaku Dibayar Rp 2.500 per Identitas".