Polda Metro Jaya menangkap dua karyawan lepas Ninja Xpress atas kasus pembobolan data pelanggan yang digunakan untuk modus penipuan cash on delivery (COD) berupa paket palsu.
Dua karyawan yang telah ditetapkan tersangka itu berinisial T dan MFB ditangkap di kawasan Bandung dan Cirebon pada 5 Mei 2025 lalu. Sedangkan masih ada satu tersangka lagi yang masih buron berinisial G.
“Dua orang tersangka diduga terlibat dalam akses ilegal terhadap sistem Ninja Xpress dan penyalahgunaan data pelanggan,” ujar Kasubdit Penmas Polda Metro Jaya, AKBP Reonald Simanjuntak, Jumat (11/7/2025).
Menurutnya, modus kejahatan dilakukan dengan menggunakan akun karyawan Ninja Xpress untuk membobol sistem operasional dan mengungkap data pelanggan. Data yang dibobol antara lain nama pemesan, nomor telepon, alamat, jenis barang, serta nilai pembayaran COD.
Data tersebut dijual kepada pihak ketiga untuk membuat paket palsu dan mengirimkannya secara COD ke pelanggan atau korban. Tercatat pencurian data itu terjadi selama periode Desember 2024 hingga Januari 2025 dengan jumlah mencapai 10 ribu data pelanggan jasa ekspedisi Ninja Xpress.
Terkait kasus ini, Wadirresiber Polda Metro Jaya, AKBP Fian Yunus menjelaskan tersangka G menawarkan tersangka MFB seharga Rp2.500 untuk setiap data pesananan paket COD yang ada di sistem Ninja Xpress. Kemudian, tersangka MFB meminta tersangka T untuk memberikan data pesanan paket COD Ninja Xpress yang akan dibayarkan Rp1.500 untuk setiap data pesanan paket COD.
“Tersangka T adalah pekerja harian lepas Ninja Xpress yang bertugas menyortir barang pesanan sesuai lokasi pengiriman yang tidak memiliki akses ke sistem operasional Ninja Xpress,” kata Fian.
Namun T menggunakan akun (user) milik karyawan Ninja Xpress lain tanpa sepengetahuan pemilik akun mengakses ke sistem operasional.
“Sehingga T bisa mengakses OpV2 dan melakukan pembukaan atau ‘unmasking’ pada data ‘customer’ tersebut berupa nama pemesan, jumlah pemesanan, jenis pesanan, alamat pengiriman, nomor handphone pemesan dan biaya COD pesanan,” katanya.
Kemudian T memberikan data pesanan paket COD dalam bentuk atau format excel yang sebelumnya diberikan oleh tersangka MFB.
“Tersangka MFB selanjutnya melakukan kegiatan tersebut atas adanya permintaan atau perintah dari tersangka G yang memberikan bayaran sebesar Rp2.500 untuk setiap data pesanan paket COD,” kata Fian.
Dari pengakuannya, T dan MFB hanya menjual data paket pesanan kepada tersangka G (DPO). Diduga kuat yang membuat dan mengirimkan paket palsu kepada pelanggan adalah tersangka G yang hingga kini masih buron.
Dari kasus ini sekitar 10 ribu data telah diambil oleh para pelaku. “Jadi MFB totalnya mendapat bayaran Rp10 juta sedangkan T dapat Rp15 juta dari tersangka G,” pungkasnya.
Atas kasus tersebut, ketiga tersangka dijerat pasal tentang akses ilegal dan pengambilan data elektronik tanpa hak dalam Undang-Undang ITE, dengan ancaman hukuman 8 tahun penjara dan denda maksimal Rp2 miliar.