1. Startup

Pinjaman Gelap dan Ilegal Melalui Traveloka PayLater Menimbulkan Kekhawatiran atas Penyalahgunaan Data

Transaksi misterius terjadi di Traveloka PayLater pada tahun 2019 tanpa otorisasi pengguna. Tidak menyadari bahwa mereka 'berutang' uang, nilai kredit orang-orang ini telah merosot.

Mengakses produk keuangan menggunakan smartphone dan platform yang diberdayakan teknologi untuk  sekarang telah menjadi kebiasaan banyak orang Asia Tenggara. Sebuah layanan serupa bank hanya melalui beberapa klik. Namun baru-baru ini keluhan tentang kemungkinan penyalahgunaan data pengguna yang disimpan oleh Traveloka mengungkap masalah serius dari praktik keamanan data yang tertinggal di balik proliferasi fitur yang mudah diakses. Saat ini, para korban harus menghadapi skor kredit pribadi yang rusak, namun masalah perlindungan data yang lebih besar belum ditangani.

Ketika Rachmat Haryanto mengajukan permohonan kartu kredit baru pada tahun 2019, ia terkejut ketika bank menolak permohonannya. Bank mengatakan dia memiliki nilai kredit atau credit scoring yang buruk, tetapi Haryanto yakin dia tidak memiliki tagihan yang tertunggak. Dia memeriksa riwayat kreditnya dan menemukan dua tagihan yang belum dibayar yang ditandai sebagai hutang kepada Caturnusa Sejahtera Finance, sebuah perusahaan yang ditugaskan oleh Traveloka untuk mengoperasikan layanan BNPL (Buy Now Pay Later).

Haryanto adalah seorang fotografer, dan dia sering bepergian untuk tugas. Seringkali, dia memesan tiket pesawat dan kamar hotel melalui Traveloka, tetapi dia tidak pernah mendaftar untuk layanan PayLater perusahaan. “Bank Indonesia memasukkan saya ke dalam daftar hitam untuk dua tagihan terutang, satu seharga Rp 8 juta (USD 561) dan satu lagi seharga Rp 10 juta (USD 710), di Traveloka PayLater,” kata Haryanto kepada KrASIA.

Siap mengajukan pengaduan, Haryanto menghubungi otoritas jasa keuangan Indonesia, OJK. Perwakilan yang berbicara dengannya menyuruhnya untuk menghubungi Traveloka secara langsung dan menyelesaikan masalah tersebut. “Bank juga menyarankan saya untuk meminta disclaimer dari perusahaan-perusahaan tersebut agar tagihan dapat dihapuskan untuk memperbaiki skor kredit saya sehingga saya dapat kembali mengajukan permohonan untuk kartu kredit,” kata Haryanto.

Ia akhirnya melakukan hal itu. Dia mengunjungi kantor Traveloka di Jakarta untuk melaporkan kesalahan tersebut dan meminta perusahaan segera memperbaiki masalah itu. “Data dalam rincian tagihan tidak sepenuhnya akurat. Sementara nama dan nomor KTP saya benar, informasi pekerjaan, alamat, dan nomor ponsel salah. Jadi ternyata, hanya butuh nama dan nomor ID untuk menyalahgunakan data,” katanya kepada KrASIA. Traveloka menyelesaikan masalah tersebut dan mengeluarkan sanggahan tertulis atas permintaan Haryanto.

Nilai kredit yang buruk, apa pun akar masalahnya, mempersulit individu untuk mengajukan kartu kredit, pinjaman, hipotek, dan layanan keuangan lain yang ditawarkan oleh bank.

Kasus Haryanto bukanlah sekedar outlier. Setelah dia menulis tentang pengalamannya dalam sebuah surat yang diterbitkan oleh media lokal Detik, lebih banyak orang mengatakan bahwa mereka mengalami masalah yang sama. “Sampai hari ini, banyak orang menghubungi saya untuk berbagi pengalaman serupa.”

Pelanggan lain yang menggunakan nama “Ridu” di Twitter baru-baru ini membagikan pengalamannya melalui utas tweet. Seperti Haryanto, pengajuan kartu kredit Ridu ditolak karena kreditnya buruk. “Ternyata, saya memiliki tiga transaksi yang belum dibayar dari Mei 2019, semuanya dari Caturnusa,” katanya kepada KrASIA.

Utas Ridu menarik perhatian Traveloka, yang menjangkau pengguna dan meminta tangkapan layar laporan skor kreditnya, serta foto kartu identitasnya dan selfie untuk verifikasi. Beberapa jam setelah Ridu mengirimkan materi tersebut, Traveloka mengiriminya email untuk meminta maaf atas penyalahgunaan data pribadinya. “Utang” Ridu dihapuskan oleh perusahaan.

Tema umum dalam kasus Haryanto, “Ridu,” dan pengguna Traveloka lainnya yang skor kreditnya menukik tanpa alasan yang jelas adalah tidak satupun dari mereka yang mendaftar ke layanan Traveloka PayLater yang difasilitasi oleh Caturnusa. Juga, tidak satu pun dari pengguna ini pernah menerima faktur atau dihubungi oleh penagih utang. Mereka yang menemukan utang terutang mereka hanya mengetahui ketika mereka melihat nilai kredit mereka setelah aplikasi mereka dengan lembaga keuangan ditolak. Hal ini menimbulkan pertanyaan: siapa yang menggunakan data pelanggan Traveloka untuk merumuskan transaksi dalam catatan Caturnusa? Dan mengapa mereka melakukan ini?

Haryanto berasumsi. “Dari banyak percakapan yang saya lakukan dengan korban lain dan orang-orang yang akrab dengan perusahaan fintech dan teknologi, ada dugaan bahwa Caturnusa mengambil data dari pengguna Traveloka untuk melakukan transaksi tersebut sehingga mereka memiliki aktivitas dan siklus transaksi yang sehat di platform. Tapi sekali lagi, ini hanya spekulasi,” katanya.

“Ridu” percaya bahwa ini adalah alasan yang paling mungkin di balik “utang” yang dibawanya. “Korban lain yang menghubungi saya mengatakan bahwa transaksi mereka juga terjadi pada tahun 2019. Dan saya menemukan bahwa Traveloka tidak memerlukan verifikasi KTP dan foto saat itu [untuk layanan PayLater],” katanya.

Selain vertikal PayLater, Traveloka juga menawarkan produk asuransi kepada penggunanya dengan bermitra dengan perusahaan seperti Chubb dan Astra Life.

Traveloka belum menanggapi permintaan konfirmasi KrASIA terkait hal tersebut.

Bagaimana penyelenggara fintech mengelola data pengguna?

Yayasan Konsumen Indonesia mengatakan 33,5% pengaduan yang diterimanya pada tahun 2020 menyasar penyedia jasa keuangan, porsi terbesar berdasarkan sektor dalam volume keseluruhannya. Sebagian besar konsumen menuduh bisnis ini menyalahgunakan atau mengeksploitasi data pengguna mereka, khususnya menunjuk ke pemberi pinjaman peer-to-peer ilegal.

Perusahaan Fintech sering mengatakan bahwa mereka menggunakan data pelanggan untuk analisis risiko, deteksi penipuan, dan untuk menyesuaikan layanan berdasarkan aktivitas dan preferensi pengguna. Pada tahun 2018, OJK menetapkan peraturan tentang bagaimana perusahaan tekfin dapat memanfaatkan data nasabahnya—semua penyedia jasa keuangan harus menjaga kerahasiaan, integritas, dan aksesibilitas data pribadi, transaksi, dan keuangan nasabah sejak perusahaan tersebut memperoleh data tersebut sampai dengan titik waktu ketika itu dihapus dari server mereka. Penyedia layanan juga harus mendapatkan persetujuan dari pengguna untuk pemanfaatan data, serta menjelaskan tujuan dan batasannya dengan jelas. Selain itu, metode pengumpulan data harus menjamin kerahasiaan dan keamanan.

Semua platform fintech dengan lisensi yang valid dari OJK, seperti Traveloka PayLater, harus mematuhi peraturan tersebut. Saat ini belum jelas bagaimana rentetan pinjaman tanpa izin tersebut dikeluarkan melalui layanan Traveloka PayLater.

Indonesia berjuang dengan lemahnya perlindungan informasi pribadi di sektor publik dan swasta. Setidaknya ada tujuh pelanggaran data besar pada tahun 2020, termasuk yang melibatkan perusahaan teknologi besar seperti Tokopedia dan Bukalapak, serta Komisi Pemilihan Umum (KPU). Pada bulan Mei, server BPJS Kesehatan, lembaga kesehatan dan jaminan sosial negara, diduga diretas, mengakibatkan data 279 juta orang Indonesia, termasuk orang yang sudah meninggal, diposting di forum peretas.

-Artikel ini pertama kali dirilis oleh KrASIA. Kembali dirilis dalam bahasa Indonesia sebagai bagian dari kerja sama dengan DailySocial