Kaitan langsung dengan panggilan dan SMS penipuan
Kebocoran data hampir tidak pernah kekal di dalam syarikat yang digodam. Sebaik sahaja ia beredar, maklumat di dalamnya — nama, nombor telefon, nombor MyKad, kadangkala bank atau majikan — menjadi bahan mentah kepada penipu untuk memperibadikan pendekatan mereka, dan bukan menghubungi secara rawak. Sesetengah organisasi di Malaysia melaporkan kerugian melebihi RM5 juta akibat satu insiden besar sahaja pada 2026, dengan purata kos kebocoran data dianggarkan RM3.2 juta.
Sumber: laporan "Beyond Compliance: The State of Cyber Resilience in Malaysia 2026", dipetik oleh Free Malaysia Today, 23/04/2026.
Malaysia: peraturan baharu, insiden yang meningkat
Beberapa kes individu menggambarkan skala masalah ini sejak 2024:
Kesihatan, sukan, pelancongan: tiga sektor yang kian terdedah
Kes-kes 2024-2025 di atas tertumpu kepada telekomunikasi, farmasi dan laman kerajaan. Tetapi antara akhir 2025 dan pertengahan 2026, tiga sektor lain turut mencatatkan insiden yang disahkan atau didakwa — kesihatan, sukan dan pelancongan — masing-masing dengan tahap pengesahan rasmi yang berbeza.
🏥Laman web Kementerian Kesihatan (KKM) — digodam, tetapi data pesakit disahkan tidak terjejas
Laman rasmi moh.gov.my digodam pada hujung minggu 27 Jun 2026 melalui kelemahan dalam sambungan penyuntingan kandungan Joomla CMS, membenarkan penyerang memuat naik kod PHP sesuka hati. Agensi Keselamatan Siber Negara (NACSA) turut mengesahkan sekurang-kurangnya tiga laman kerajaan lain terjejas kelemahan yang sama. KKM menutup akses laman buat sementara dan menasihatkan orang ramai mengelak melayarinya. Tiga hari kemudian, kementerian mengesahkan secara rasmi: portal yang digodam "tidak menyimpan rekod perubatan atau data kesihatan pesakit", dan sistem penyampaian perkhidmatan kesihatan kritikal kekal selamat di infrastruktur berasingan. Kes ini penting bukan kerana data pesakit bocor — ia tidak — tetapi kerana ia menunjukkan betapa mudahnya sebuah tapak kerajaan digodam melalui kelemahan perisian pihak ketiga yang tidak dikemas kini.
Malay Mail · The Star · Free Malaysia Today, 27-30/06/2026⚽Persatuan Bola Sepak Malaysia (FAM) — sistem pengurusan pertandingan ditebus
Sistem Pengurusan Pertandingan (CMS) FAM — platform yang menyimpan rekod pemain, statistik perlawanan, pendaftaran pasukan dan dokumen pertandingan — digodam pada 6 Oktober 2025. Penggodam meninggalkan mesej tebusan di laman itu, mengancam memadam kesemua pangkalan data jika bayaran tidak dijelaskan dalam tempoh 13 jam. Insiden ini berlaku ketika FAM sudah tertekan akibat penggantungan pemain warisan oleh FIFA berikutan skandal dokumen dipalsukan — contoh bagaimana sebuah badan induk sukan, bukan sahaja bank atau kerajaan, boleh menjadi sasaran, dengan data ahli dan pasukan yang berpotensi bernilai untuk membina senario penipuan yang menyasarkan komuniti bola sepak tempatan.
The Star · New Straits Times, 06/10/2025✈️Agoda — dakwaan 82 juta rekod, tetapi hanya 23 disahkan
Pada 21-22 April 2026, seorang penggodam menawarkan jualan 82 juta rekod pelanggan yang didakwa milik Agoda di forum jenayah siber, dengan tumpuan pada pengguna Malaysia — termasuk nombor MyKad, nama penuh, nombor telefon, emel dan alamat hotel. Agoda menafikan sepenuhnya: "Tiada kebenaran dalam dakwaan ini. Kami telah mengesahkan maklumat tersebut, dan tiada satu pun daripadanya data Agoda." Penyelidik Cybernews turut mendapati sampel yang dimuat naik penggodam hanya mengandungi 23 rekod — bukan 82 juta seperti yang didakwa — dan sampel itu tiada langsung medan tarikh penginapan, satu kejanggalan bagi rekod tempahan hotel yang tulen.
Cybernews, 22/04/2026Kosa kata yang perlu difahami
Have I Been Pwned
Perkhidmatan percuma dicipta oleh penyelidik keselamatan Troy Hunt: masukkan emel anda untuk tahu jika ia muncul dalam kebocoran data yang diketahui.
Credential stuffing
Penyerang mencuba secara pukal, di laman lain, kata laluan yang dicuri daripada kebocoran sebelumnya — dengan andaian anda menggunakan kata laluan yang sama di tempat lain.
Password spraying
Kebalikan brute-force biasa: penyerang mencuba satu kata laluan yang sangat lazim ke atas banyak akaun berbeza, supaya tidak dikesan oleh sistem pemantauan.
Keletihan MFA
Penyerang yang sudah memiliki kata laluan anda menghantar rentetan permintaan pengesahan bertubi-tubi, berharap anda akhirnya menerima kerana penat atau tersilap.
SIM swap, satu lagi teknik yang berkait rapat dengan penyalahgunaan data yang bocor, diterangkan dengan lebih lanjut dalam glosari kami.
Soalan lazim
Bagaimana saya tahu jika data saya telah bocor?
Have I Been Pwned (haveibeenpwned.com) ialah perkhidmatan percuma, dicipta oleh penyelidik keselamatan Troy Hunt, yang membolehkan anda menyemak sama ada alamat emel anda muncul dalam kebocoran data yang diketahui.
Adakah kerajaan Malaysia kini mewajibkan syarikat melaporkan kebocoran data?
Ya. Sejak 1 Jun 2025, pindaan PDPA mewajibkan pengawal data memberitahu Suruhanjaya Perlindungan Data Peribadi (JPDP) secepat mungkin, dan dalam tempoh 72 jam, apabila mereka mempunyai sebab untuk mempercayai berlakunya kebocoran data. Jika kebocoran itu berkemungkinan menyebabkan kemudaratan ketara — termasuk automatik jika ia melibatkan lebih 1,000 individu — individu terjejas juga mesti dimaklumkan dalam tempoh 7 hari selepas notifikasi kepada JPDP.
Kenapa kebocoran data membawa kepada panggilan dan SMS penipuan?
Kerana kebocoran selalunya mengandungi nama, nombor telefon, nombor MyKad dan kadangkala maklumat bank atau majikan — cukup untuk membina panggilan atau SMS yang kelihatan sah dan diperibadikan, jauh lebih berkesan berbanding mesej generik yang dihantar secara rawak.
Kenapa data kesihatan begitu dicari oleh penjenayah siber?
Berbeza dengan kata laluan atau kad bank yang boleh disekat atau ditukar selepas kebocoran, sejarah perubatan tidak boleh "ditetapkan semula" — ia kekal sah buat selama-lamanya. Harga sebenar data kesihatan di pasaran gelap berbeza-beza secara meluas antara sumber, tetapi nilainya yang berpanjangan itulah yang menjadikannya sasaran istimewa, bukan angka harga tertentu yang boleh disahkan.