Sejumlah pengguna chatbot Claude AI melaporkan tagihan kartu kredit ilegal hingga 600 dolar AS akibat eksploitasi fitur langganan hadiah oleh peretas. Modus ini memanfaatkan kebocoran data sesi browser untuk melewati sistem keamanan dua faktor tanpa mengubah kredensial akun korban. Fenomena ini menjadi peringatan bagi pengguna layanan AI di Indonesia untuk lebih waspada terhadap metode pembayaran yang tersimpan secara otomatis.
Laporan mengenai transaksi tidak sah pada akun Claude AI terus meningkat di berbagai platform komunitas seperti Reddit. Para peretas dilaporkan tidak membobol infrastruktur Anthropic secara langsung, melainkan mengeksploitasi celah pada fitur gift subscription atau langganan hadiah untuk mencuri dana pengguna.
Modus Senyap Lewat Pencurian Sesi Browser
Serangan ini bekerja dengan cara yang sangat cerdik dan sulit dideteksi oleh sistem keamanan standar. Alih-alih mencoba menebak kata sandi, peretas menggunakan data yang bocor dari pelanggaran keamanan terdahulu atau melalui malware yang mencuri sesi aktif (session hijacking) pada browser pengguna.
Begitu mendapatkan akses, pelaku tidak akan mengubah alamat email atau kata sandi akun korban. Langkah ini sengaja diambil agar tidak memicu notifikasi keamanan yang biasanya muncul saat ada perubahan data kredensial. Korban tetap bisa masuk ke akun mereka seperti biasa tanpa menyadari bahwa akses mereka telah dikuasai pihak asing.
Peretas langsung menuju menu penagihan (billing) dan membeli beberapa paket langganan hadiah senilai total 600 dolar AS atau sekitar Rp 9,6 juta. Kode hadiah digital tersebut dikirimkan ke email yang dikuasai peretas untuk kemudian dijual kembali di pasar gelap atau ditukar dengan aset kripto.
Celah Verifikasi pada Fitur Hadiah
Salah satu alasan mengapa modus ini sangat efektif adalah minimnya lapisan verifikasi tambahan pada proses pembelian hadiah. Banyak pengguna melaporkan bahwa transaksi ini tidak meminta otentikasi dua faktor (2FA) atau kode verifikasi SMS dari bank (OTP) saat dilakukan dari perangkat yang sudah dianggap "terpercaya" oleh sistem.
Kondisi ini diperparah dengan otomatisasi serangan bertenaga AI yang membuat proses pengambilalihan akun terjadi dalam hitungan detik. Anthropic, selaku pengembang Claude, saat ini menghadapi tantangan besar untuk menyeimbangkan kenyamanan transaksi dengan protokol keamanan yang lebih ketat bagi basis penggunanya yang tumbuh sangat cepat.
Langkah Darurat Mengamankan Akun Claude
Bagi pengguna Claude AI, terutama yang berlangganan paket Pro atau Team, terdapat tiga langkah krusial yang harus segera dilakukan untuk memitigasi risiko pembobolan saldo:
- Hapus metode pembayaran tersimpan: Segera akses menu Settings > Billing dan hapus informasi kartu kredit yang tersimpan. Masukkan data kartu hanya saat Anda akan melakukan pembayaran secara manual.
- Putus semua sesi aktif: Lakukan log out dari semua perangkat untuk mereset sesi aktif. Langkah ini akan memutus akses peretas yang mungkin sedang menumpang pada sesi browser Anda.
- Pantau notifikasi email: Waspadai email konfirmasi bertajuk "Your gift has been delivered" atau sejenisnya. Jika menerima email tersebut tanpa melakukan transaksi, segera hubungi bank untuk melakukan pemblokiran kartu dan ajukan chargeback.
Insiden ini menjadi pengingat bahwa alat kecerdasan buatan yang semakin pintar tidak selalu dibarengi dengan sistem perlindungan akun yang matang. Selama sistem verifikasi berlapis untuk fitur hadiah belum diterapkan secara menyeluruh, menyimpan informasi kartu kredit pada platform AI tetap menjadi risiko finansial yang nyata.
