Sejumlah pengguna chatbot Claude AI melaporkan tagihan kartu kredit ilegal hingga 600 dolar AS akibat eksploitasi fitur langganan hadiah oleh peretas. Modus ini memanfaatkan kebocoran data sesi browser untuk melewati sistem keamanan dua faktor tanpa mengubah kredensial akun korban. Fenomena ini menjadi peringatan bagi pengguna layanan AI di Indonesia untuk lebih waspada terhadap metode pembayaran yang tersimpan secara otomatis.
Laporan mengenai transaksi tidak sah pada akun Claude AI terus meningkat di berbagai platform komunitas seperti Reddit. Para peretas dilaporkan tidak membobol infrastruktur Anthropic secara langsung, melainkan mengeksploitasi celah pada fitur gift subscription atau langganan hadiah untuk mencuri dana pengguna.
Serangan ini bekerja dengan cara yang sangat cerdik dan sulit dideteksi oleh sistem keamanan standar. Alih-alih mencoba menebak kata sandi, peretas menggunakan data yang bocor dari pelanggaran keamanan terdahulu atau melalui malware yang mencuri sesi aktif (session hijacking) pada browser pengguna.
Begitu mendapatkan akses, pelaku tidak akan mengubah alamat email atau kata sandi akun korban. Langkah ini sengaja diambil agar tidak memicu notifikasi keamanan yang biasanya muncul saat ada perubahan data kredensial. Korban tetap bisa masuk ke akun mereka seperti biasa tanpa menyadari bahwa akses mereka telah dikuasai pihak asing.
Peretas langsung menuju menu penagihan (billing) dan membeli beberapa paket langganan hadiah senilai total 600 dolar AS atau sekitar Rp 9,6 juta. Kode hadiah digital tersebut dikirimkan ke email yang dikuasai peretas untuk kemudian dijual kembali di pasar gelap atau ditukar dengan aset kripto.
Salah satu alasan mengapa modus ini sangat efektif adalah minimnya lapisan verifikasi tambahan pada proses pembelian hadiah. Banyak pengguna melaporkan bahwa transaksi ini tidak meminta otentikasi dua faktor (2FA) atau kode verifikasi SMS dari bank (OTP) saat dilakukan dari perangkat yang sudah dianggap "terpercaya" oleh sistem.
Kondisi ini diperparah dengan otomatisasi serangan bertenaga AI yang membuat proses pengambilalihan akun terjadi dalam hitungan detik. Anthropic, selaku pengembang Claude, saat ini menghadapi tantangan besar untuk menyeimbangkan kenyamanan transaksi dengan protokol keamanan yang lebih ketat bagi basis penggunanya yang tumbuh sangat cepat.
Bagi pengguna Claude AI, terutama yang berlangganan paket Pro atau Team, terdapat tiga langkah krusial yang harus segera dilakukan untuk memitigasi risiko pembobolan saldo:
Insiden ini menjadi pengingat bahwa alat kecerdasan buatan yang semakin pintar tidak selalu dibarengi dengan sistem perlindungan akun yang matang. Selama sistem verifikasi berlapis untuk fitur hadiah belum diterapkan secara menyeluruh, menyimpan informasi kartu kredit pada platform AI tetap menjadi risiko finansial yang nyata.