JAKARTA – Insiden pencurian data pribadi milik lebih dari 10.000 konsumen Ninja Xpress menguak sisi rentan dari pengelolaan dan pengawasan internal dalam sistem distribusi logistik. Meskipun tidak melibatkan serangan siber oleh peretas, kasus ini tetap menunjukkan bagaimana lemahnya pengendalian terhadap akses data dalam suatu perusahaan.
Chief Marketing Officer (CMO) Ninja Xpress, Andi Junardi Juarsa, menegaskan bahwa kejadian tersebut bukan akibat diretas oleh pihak luar, melainkan karena penyalahgunaan akses oleh oknum internal.
“Tidak ada urusannya dengan hacker dan sistem IT kami,” kata Andi dalam konferensi pers di Polda Metro Jaya, Jumat (11/07/2025). Ia menjelaskan bahwa setiap kantor cabang Ninja Xpress memiliki personel dengan akses terbatas terhadap informasi pelanggan untuk keperluan pengiriman barang. “Ini murni penyalahgunaan data,” tegasnya.
Kasus ini terungkap setelah perusahaan menerima banyak keluhan dari pelanggan yang menerima paket berisi sampah. Audit internal yang dilakukan kemudian menemukan adanya pembukaan data pelanggan secara tidak sah oleh pekerja harian lepas di cabang Lengkong, Kota Bandung.
Menurut penyelidikan kepolisian, pelaku utama berinisial T bukanlah karyawan tetap, melainkan pekerja harian lepas yang memanfaatkan kelengahan staf tetap yang memiliki akses resmi ke sistem.
“Pada saat karyawan yang mempunyai akses terhadap sistem ini lengah, dia (T) melakukan akses, melakukan infiltrasi terhadap akses rahasia tersebut,” ujar AKBP Rafles Langgak Putra Marpaung, Kasubdit III Siber Polda Metro Jaya.
Dari data yang dicuri, T memperoleh informasi lengkap pelanggan, mulai dari nama, alamat, nomor ponsel, hingga detail transaksi. Data tersebut kemudian digunakan untuk mengirim paket palsu melalui jasa ekspedisi lain, sementara barang asli masih berada di gudang Ninja Xpress.
Penyelidikan lebih lanjut mengungkap bahwa T bekerja sama dengan FMB, mantan kurir Ninja Xpress yang ditangkap di Cirebon. Keduanya dikendalikan oleh tersangka utama berinisial G, yang kini masuk dalam daftar pencarian orang (DPO).
“Tersangka G menjanjikan Rp 2.500 per data. FMB mendapat Rp 1.000 dan T memperoleh Rp 1.500 per data,” ujar Rafles.
Secara keseluruhan, FMB menerima bayaran hingga Rp 10 juta dan T mendapat Rp 15 juta. Aparat kini terus menelusuri kemungkinan adanya jaringan lain di balik kasus ini, sekaligus menjadi peringatan bagi perusahaan-perusahaan yang mengelola data pribadi untuk memperketat kontrol akses internal. []
Diyan Febriana Citra.