Tekan ESC untuk menutup

Kebocoran KYC Bursa Kripto: Cara Sebenarnya Data Anda Disimpan

Kebocoran KYC Bursa Kripto: Cara Sebenarnya Data Anda Disimpan

Ketika sebuah bursa menulis di situsnya “kami menggunakan enkripsi tingkat perbankan dan mematuhi GDPR”, itu adalah formula pemasaran, bukan deskripsi arsitektur penyimpanan data yang sebenarnya.

Secara hukum — mereka benar.
Secara teknis — kenyataannya jauh lebih kompleks dan berbahaya bagi pengguna.

Justru celah antara keamanan yang dideklarasikan dan praktik nyata inilah yang perlu dibedah.

 

1. Bagaimana data sebenarnya disimpan — tanpa klaim iklan

1.1. KYC hampir tidak pernah benar-benar “di dalam bursa”

Sebagian besar CEX besar tidak memiliki infrastruktur KYC sendiri. Itu tidak efisien, mahal, dan berisiko secara hukum.
Karena itu mereka menggunakan vendor pihak ketiga:

  • Onfido
  • Jumio
  • Sumsub
  • Trulioo
  • IDnow

Skemanya terlihat seperti ini:

  1. Anda mengunggah paspor dan selfie bukan ke server bursa, melainkan ke cloud milik vendor KYC
  2. Dokumen diproses oleh AI + moderasi manual
  3. Bursa menerima:
    • status (verified / rejected)
    • metadata
    • sering kali salinan dokumen itu sendiri

⚠️ Poin kunci:
Satu peretasan atau kebocoran di sisi vendor = kompromi puluhan bursa sekaligus.
Ini adalah risiko sistemik yang jarang dibicarakan oleh bursa.

 

1.2. “Menghapus akun” tidak berarti menghapus data

Berdasarkan persyaratan AML/CFT:

  • Uni Eropa: 5 tahun
  • Inggris: hingga 6 tahun
  • Amerika Serikat: 5–10 tahun
  • Beberapa yurisdiksi: hingga 12 tahun

Bahkan jika:

  • Anda menutup akun
  • menghapus profil
  • menulis ke dukungan pelanggan

👉 paspor, selfie, dan bukti alamat Anda tetap disimpan dalam arsip.

Biasanya arsitekturnya seperti ini:

  • Penyimpanan panas — pengguna aktif, akses untuk dukungan teknis
  • Penyimpanan hangat — akun yang baru ditutup
  • Arsip dingin — penyimpanan offline (S3 Glacier, tape backup, air-gapped storage)

Namun ada satu nuansa yang jarang dibicarakan:

Dalam setiap “penyelidikan”, verifikasi ulang, atau permintaan regulator,
data dikembalikan ke zona panas, di mana manusia memiliki akses ke sana.

 

1.3. Insider Threat — mimpi buruk nyata industri

Bagian paling rentan dari sistem adalah manusia.

Dalam praktiknya:

  • dukungan sering dialihdayakan
  • gaji rendah
  • kontrol bersifat formal
  • audit dilakukan secara selektif

Geografi yang umum:

  • Filipina
  • India
  • Eropa Timur
  • Amerika Latin

Operator dukungan dapat melihat:

  • paspor
  • selfie
  • alamat
  • log IP
  • riwayat login
  • terkadang transaksi

💡 Fakta yang jarang diketahui:
Di beberapa bursa, satu operator dapat menangani 5–10 proyek sekaligus (melalui satu kontraktor).
Ini berarti adanya akses silang antar ekosistem.

 

2. Kebocoran dan insiden: apa yang benar-benar terjadi

2.1. Binance (2019)

Yang bocor ke publik:

  • foto pengguna dengan paspor
  • selfie dengan kertas bertuliskan “Binance”

Pernyataan bursa:

“Ini adalah kebocoran dari kontraktor KYC lama”

Yang penting:

  • data muncul setahun setelah pergantian vendor
  • peretas menuntut 300 BTC
  • sebagian data masih beredar di basis data privat hingga sekarang

 

2.2. Coinbase (2024–2025)

Salah satu kasus paling ilustratif.

Bukan peretasan.
Bukan bug.
Penyuapan karyawan.

  • kontraktor dukungan direkrut
  • akses ke panel admin
  • data ~70.000 pengguna diekspor

Termasuk:

  • dokumen identitas
  • alamat
  • riwayat KYC
  • catatan internal tim risiko

Ini adalah contoh klasik insider breach yang tidak bisa dicegah hanya dengan enkripsi.

 

2.3. Genesis Market (2023) — sinyal peringatan serius

Genesis Market tidak hanya menjual dokumen.

Mereka menjual:

  • cookies
  • fingerprint browser
  • sesi
  • foto KYC
  • pola perilaku

Hasilnya:

  • peretas masuk ke akun
  • 2FA tidak aktif
  • sistem melihat “perangkat tepercaya”

👉 Ini menunjukkan bahwa KYC + analitik perilaku dapat digunakan melawan pengguna.

 

2.4. Bot Telegram BTC-e / WEX (2020)

Salah satu kasus yang paling diremehkan.

Basis data mencakup:

  • paspor
  • alamat
  • email
  • komentar internal karyawan

Contoh catatan:

  • “mencurigakan”
  • “kemungkinan pencairan”
  • “kemungkinan keterkaitan”

⚠️ Catatan ini tidak dihapus, tidak direset, dan bisa muncul kembali setelah bertahun-tahun.

 

3. Negara dan bursa: lebih dari sekadar permintaan resmi

3.1. Gateway semi-otomatis

CEX besar di AS dan UE menggunakan sistem di mana:

  • permintaan dari penegak hukum
  • verifikasi format otomatis
  • respons — dalam hitungan jam

Pengacara terlibat setelah fakta.

Ini bukan lagi proses manual, melainkan proses mirip API.

 

3.2. CARF — akhir dari anonimitas “sunyi”

Crypto-Asset Reporting Framework:

  • implementasi: 2026–2027
  • pertukaran otomatis
  • saldo
  • keuntungan
  • pergerakan dana

Penting:

  • bahkan tanpa fiat
  • bahkan tanpa penarikan
  • bahkan jika Anda hanya menyimpan aset

👉 Bursa menjadi informan pajak, bukan sekadar platform.

 

3.3. Daftar hitam dan Source of Wealth

Cukup dengan:

  • keterkaitan tidak langsung
  • melalui mixer
  • melalui DeFi
  • melalui 5–10 hop

Dan Anda akan mendapatkan:

  • pembekuan
  • permintaan SoW
  • ketidakmampuan membuktikan transaksi lama

Pada titik ini, bursa bukan sekutu Anda, melainkan pelaksana regulator.

 

4. AI dan tanggung jawab kolektif

Sejak 2025, yang aktif diterapkan:

  • model graf
  • klasterisasi pengguna
  • penilaian reputasi

Jika Anda berinteraksi dengan akun yang “ditandai”:

  • profil Anda mewarisi risiko
  • batas diturunkan
  • pemeriksaan semakin sering

Ini sudah social scoring, bukan AML klasik.

 

Kesimpulan singkat namun keras

  • KYC bersifat permanen, bahkan setelah akun ditutup
  • Ancaman utama adalah manusia, bukan server
  • Kebocoran bersifat sistemik, bukan kebetulan
  • Pada 2026, CEX = titik pengawasan finansial total

Ini bukan teori.
Ini adalah realitas yang sudah berjalan.

 

5. Detail yang Jarang Diketahui namun Sangat Penting, yang Hampir Tidak Pernah Dibicarakan

Ini adalah bagian yang jarang dipublikasikan bahkan oleh media khusus, karena tidak nyaman bagi bursa maupun regulator.

 

5.1. “Kehidupan Kedua” Data KYC Anda

Setelah pemeriksaan awal, data tidak dibiarkan sia-sia.

Data tersebut digunakan kembali untuk:

  • melatih model anti-penipuan internal
  • mengkalibrasi skor risiko
  • analisis retrospektif (“apakah kami membuat kesalahan saat itu?”)

💡 Fakta yang Jarang Diketahui:
Di beberapa yurisdiksi, anonimisasi KYC hanya bersifat formal. Dalam praktiknya, data:

  • sebagian di-hash
  • ditokenisasi
  • namun dapat dipulihkan melalui kunci internal kepatuhan

Dengan kata lain, “anonimisasi” sering dapat dibalik.

 

5.2. “Profil Hitam” Internal

Di bursa besar terdapat profil risiko internal yang tidak pernah dilihat pengguna:

Contoh parameter:

  • “kemungkinan perhatian regulator”
  • “ketidakstabilan perilaku”
  • “perubahan pola yang tidak biasa”
  • “anomali geografis”

Profil ini:

  • tidak dihapus
  • tidak di-reset
  • ditransfer saat merger, penjualan bisnis, atau perubahan yurisdiksi

👉 Bahkan ketika bursa “memindahkan negaranya”, database ikut terbawa.

 

5.3. Merger, Akuisisi, dan Transfer Database

GDPR memungkinkan transfer data pribadi dalam kasus:

  • pembelian bisnis
  • restrukturisasi
  • kebangkrutan
  • transfer aset

Apa artinya ini dalam praktik:

  • Anda melakukan KYC di satu bursa
  • 3 tahun kemudian bursa tersebut dibeli
  • paspor Anda secara sah berada di perusahaan lain

Dan Anda tidak diwajibkan memberikan persetujuan lagi.

 

5.4. Log – Sumber Kebocoran yang Paling Diremehkan

Bahkan jika dokumen dienkripsi, tetap ada:

  • log akses
  • log audit
  • log debug
  • kesalahan API

Sering kali mencakup:

  • nama file paspor
  • negara
  • jenis dokumen
  • tanggal lahir
  • kadang fragmen base64

⚠️ Log ini:

  • jarang dibersihkan
  • sering diakses oleh DevOps dan kontraktor
  • disimpan bertahun-tahun

 

6. Mengapa “Anonimitas Nol” Bukan Slogan, tetapi Realitas Arsitektural

6.1. Kombinasi KYC + Analisis On-Chain

Saat ini setiap bursa besar menggunakan:

  • Chainalysis
  • TRM Labs
  • Elliptic
  • Crystal

Modelnya sederhana:

  1. KYC → identitas nyata
  2. Alamat → graf hubungan
  3. Perilaku → profil

Selanjutnya sistem bekerja secara otomatis.

Bahkan jika Anda:

  • mengganti alamat
  • menggunakan DeFi
  • melakukan 20 langkah perantara

graf tetap mengompres.

 

6.2. Reputasi sebagai Atribut Seumur Hidup

Fakta jarang diketahui, tetapi penting:

Risiko reputasi diturunkan.

Jika:

  • akun lama Anda memiliki flag
  • Anda melakukan KYC lagi
  • Anda menggunakan yurisdiksi atau perangkat yang sama

Sistem mengaitkan profil secara probabilistik, bukan formal.

Ini bukan lagi “akun”, tetapi bayangan digital.

 

7. Kesimpulan Praktis Tanpa Moralitas

Tanpa slogan dan tanpa ajakan.

Yang Perlu Dipahami:

  1. CEX top ≠ dompet atau bank.
    Ini adalah node pengawasan.
  2. Menghapus akun ≠ menghapus data.
  3. Perhatian regulator tidak hilang seiring waktu.
    Ia menumpuk.
  4. Teknologi pengawasan melampaui jaminan hukum.

 

Apa yang Tidak Boleh Dilakukan (Kesalahan Umum):

  • mengira “jumlah kecil tidak ada yang peduli”
  • percaya “satu bursa = satu database”
  • berpikir mengganti akun menyelesaikan masalah
  • mengabaikan metadata perilaku

 

8. Kesimpulan Utama

KYC di bursa top adalah bukan sekadar verifikasi identitas.
Ini adalah titik masuk ke sistem jangka panjang:

  • penyimpanan
  • analisis
  • korelasi
  • transfer

Dan sistem ini tidak pernah lupa.

Astra EXMON
Astra EXMON

Astra is the official voice of EXMON and the editorial collective dedicated to bringing you the most timely and accurate information from the crypto market. Astra represents the combined expertise of our internal analysts, product managers, and blockchain engineers.

...

Leave a comment

Your email address will not be published. Required fields are marked *

Akademi Pertukaran Kripto Akademi Pertukaran Kripto

Kebebasan sejati dimulai dengan keamanan pribadi dan anonimitas. Cryptocurrency: senjata Anda melawan kontrol keuangan.

Tag Clouds

#trading #anonimitas #security #blockchain #anonymous
Your experience on this site will be improved by allowing cookies.