Studi Kasus: Hacker Curi Data Kartu Kredit 56% Toko Online Lewat Celah yang Tidak Terdeteksi — Begini Cara Lindungi Toko Online Anda

Tanggal 25 Maret 2026, perusahaan keamanan Belanda Sansec mengumumkan penemuan jenis serangan baru yang benar-benar mengubah cara kita berpikir tentang keamanan toko online. Hacker berhasil mencuri data kartu kredit pelanggan menggunakan teknologi WebRTC — teknologi yang seharusnya digunakan untuk video call, bukan untuk mencuri uang orang.

Yang bikin ngeri: serangan ini berhasil melewati semua sistem keamanan standar — termasuk Content Security Policy (CSP) yang selama ini dianggap "benteng terakhir" keamanan web. Dan menurut laporan Sansec, 56,7% toko online yang menggunakan platform rentan sudah terinfeksi.

Sebagai perusahaan yang membantu UMKM dan bisnis Indonesia membangun kehadiran digital, kami di Wardigi merasa ini penting untuk dibahas. Karena kalau Anda punya toko online — atau berencana membuat satu — Anda HARUS tahu cara melindungi diri dari serangan semacam ini.

Apa yang Sebenarnya Terjadi? (Penjelasan Non-Teknis)

Bayangkan toko online Anda seperti toko fisik. CSP (Content Security Policy) itu ibarat CCTV dan alarm — dia memantau semua "pintu keluar" data dari toko Anda. Kalau ada yang mencoba kirim data lewat pintu yang tidak resmi, alarm berbunyi.

Nah, hacker menemukan cara baru. Daripada mengirim data lewat "pintu" biasa (HTTP request), mereka menggunakan WebRTC data channel — semacam "terowongan rahasia" yang tidak diawasi CCTV. Karena WebRTC biasanya dipakai untuk video call (Zoom, Google Meet, dll), sistem keamanan tidak curiga kalau teknologi ini dipakai untuk menyelundupkan data kartu kredit.

Prosesnya kira-kira begini:

1. Hacker menemukan celah di platform e-commerce (dalam kasus ini, celah bernama "PolyShell" di Magento/Adobe Commerce)
2. Mereka menyisipkan kode berbahaya ke halaman checkout toko online
3. Ketika pelanggan mengisi data kartu kredit, kode tersebut diam-diam menyalin data
4. Data dikirim ke server hacker lewat WebRTC — melewati semua firewall dan CSP
5. Pelanggan dan pemilik toko tidak tahu apa-apa

Bayangkan: pelanggan Anda belanja seperti biasa, checkout seperti biasa, dan tidak ada tanda-tanda mencurigakan. Tapi di belakang layar, semua data kartu kredit mereka sudah dicopy ke hacker.

Kenapa Ini Penting untuk Bisnis Indonesia?

"Tapi kan itu di luar negeri, di Indonesia beda." Kami sering dengar kalimat ini dari klien. Dan kami selalu jawab: hacker tidak peduli timezone.

Fakta yang perlu Anda tahu:

• Indonesia adalah negara dengan jumlah serangan siber tertinggi ke-3 di Asia Tenggara (BSSN, 2025)
• 63% UMKM Indonesia yang punya website tidak pernah melakukan audit keamanan (data internal survei Wardigi, November 2025)
• Banyak toko online Indonesia masih menggunakan Magento/WooCommerce versi lama yang rentan
• Kerugian rata-rata per insiden kebocoran data: Rp 700 juta untuk bisnis menengah di Indonesia (IBM Cost of Data Breach Report 2025, disesuaikan)

Klien kami — sebuah toko fashion online di Bandung yang mau kami rahasiakan namanya — pernah mengalami serangan serupa tahun lalu. Bukan WebRTC, tapi JavaScript skimmer biasa. Mereka baru tahu setelah 3 pelanggan komplain soal transaksi mencurigakan di kartu kredit mereka. Saat kami audit, skimmer sudah aktif selama 2 bulan. Estimasi kerugian reputasi? Mereka kehilangan 40% pelanggan repeat dalam 3 bulan berikutnya.

7 Langkah Melindungi Toko Online Anda

1. Update Platform E-Commerce Anda SEKARANG

Kalau Anda pakai Magento, WooCommerce, PrestaShop, atau OpenCart — pastikan versinya terbaru. Celah PolyShell yang dipakai dalam serangan ini sudah diperbaiki di update terbaru Adobe Commerce dan Magento Open Source.

Cara cek versi:

• WooCommerce: Dashboard WordPress → Plugins → cari WooCommerce → lihat versi
• Magento: Admin → System → About → lihat nomor versi
• Shopify: Anda aman — Shopify menangani update otomatis. Tapi tetap periksa third-party apps Anda.

"Tapi update bisa bikin website error." Benar. Makanya backup dulu sebelum update. Tapi website error sementara jauh lebih baik daripada data pelanggan dicuri.

2. Implementasi Subresource Integrity (SRI)

SRI memastikan setiap file JavaScript yang dimuat di website Anda tidak dimodifikasi. Kalau hacker berhasil mengubah satu baris kode, browser akan menolak memuatnya.

Contoh implementasi:

<script src="checkout.js" integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC" crossorigin="anonymous"></script>

Kalau Anda pakai WordPress, plugin "WP SRI" bisa menambahkan ini otomatis. Untuk platform lain, developer Anda bisa menambahkan hash SRI ke semua tag script.

3. Monitor File Changes (File Integrity Monitoring)

Pasang sistem yang otomatis mendeteksi perubahan file di server Anda. Kalau ada file yang berubah tanpa sepengetahuan Anda, langsung dapat alert.

• WordPress: Wordfence (gratis) atau Sucuri
• Magento: MageReport atau Sansec eComscan
• Custom: OSSEC atau Tripwire (open source)

4. Pisahkan Halaman Checkout

Idealnya, halaman checkout Anda minimal JavaScript. Semakin sedikit script yang berjalan di halaman pembayaran, semakin kecil permukaan serangan. Beberapa tips:

• Gunakan payment gateway eksternal (Midtrans, Xendit, Stripe) yang meng-handle input kartu kredit di domain mereka sendiri
• Jangan load script analytics, chat widget, atau tracking pixel di halaman checkout
• Kalau bisa, gunakan iframe dari payment gateway untuk form kartu kredit — data kartu tidak pernah menyentuh server Anda

5. Aktifkan Content Security Policy (CSP) yang Ketat

Ya, serangan WebRTC ini memang bypass CSP. Tapi CSP tetap melindungi dari 95% serangan lainnya. Jangan buang CSP — perkuatnya.

Untuk melawan WebRTC skimmer secara spesifik, tambahkan directive ini di CSP header Anda:

Content-Security-Policy: ... connect-src 'self' https://payment-gateway.com; 

Dan yang baru: beberapa browser modern mulai mendukung pembatasan WebRTC melalui CSP. Monitor perkembangan ini.

6. Audit Keamanan Rutin (Minimal 3 Bulan Sekali)

Jangan tunggu sampai kebobolan. Lakukan audit keamanan rutin:

• Scan malware di semua file server
• Review user access — hapus akun admin yang tidak aktif
• Cek semua plugin/extension — hapus yang tidak dipakai
• Test SSL/TLS configuration (ssllabs.com/ssltest/)
• Review log akses untuk aktivitas mencurigakan

Tim kami di Wardigi menyediakan layanan audit keamanan website untuk UMKM dan bisnis menengah. Kalau Anda tidak punya developer internal, ini investasi yang worth it.

7. Siapkan Incident Response Plan

Kalau (bukan "kalau" tapi "ketika") terjadi insiden, Anda harus punya rencana:

1. Siapa yang bertanggung jawab? (Harus ada satu orang yang punya authority untuk "matikan website sekarang")
2. Bagaimana cara isolasi? (Takedown halaman checkout, enable maintenance mode)
3. Siapa yang dihubungi? (Security vendor, payment gateway, legal)
4. Bagaimana komunikasi ke pelanggan? (Template email sudah disiapkan sebelumnya)
5. Bagaimana recovery? (Backup terbaru, clean install, audit ulang)

Checklist Keamanan Toko Online (Print dan Tempel di Dinding)

Kesimpulan: Keamanan Bukan Fitur Tambahan — Itu Fondasi

Serangan WebRTC skimmer ini adalah pengingat bahwa hacker selalu selangkah di depan. Kami pernah membahas bagaimana serangan phishing menargetkan WhatsApp bisnis dan bagaimana hacker menargetkan bisnis di Asia Tenggara. Mereka tidak berhenti berinovasi, dan pertahanan kita juga harus terus berkembang.

Untuk pemilik toko online Indonesia: jangan anggap keamanan sebagai "nanti saja." Satu insiden kebocoran data bisa menghancurkan kepercayaan pelanggan yang butuh bertahun-tahun untuk dibangun.

Investasi di keamanan website itu seperti investasi di gembok toko fisik — Anda tidak akan pernah tahu kapan ada yang mencoba masuk, tapi Anda pasti bersyukur sudah memasangnya.

Butuh bantuan mengamankan toko online atau website bisnis Anda? Tim Wardigi siap membantu — dari audit keamanan hingga implementasi proteksi lengkap. Hubungi kami untuk konsultasi gratis.

Sumber: Laporan Sansec tentang WebRTC Skimmer (Maret 2026), The Hacker News, BSSN Laporan Tahunan 2025, IBM Cost of Data Breach Report 2025.