Wahlap Bocorkan 18,9 Juta Data Pengguna Lewat Mini App WeChat

Produsen mesin arkade besar asal Tiongkok, Wahlap, diduga membiarkan jutaan data pengguna dapat diakses publik tanpa autentikasi selama hampir dua bulan. Data tersebut dikumpulkan melalui mini app WeChat milik perusahaan dan disimpan dalam instans Elasticsearch yang tidak terlindungi — sebuah kelalaian konfigurasi yang berpotensi berdampak luas bagi pengguna di berbagai negara, termasuk kawasan Asia Tenggara.

18,9 Juta Rekaman Terekspos: Apa Saja yang Bocor?

Berdasarkan temuan tim riset Cybernews yang kemudian dikutip oleh TechRadar, instans Elasticsearch milik Wahlap dapat diakses tanpa kata sandi maupun mekanisme autentikasi apa pun. Total rekaman yang terekspos diperkirakan mencapai sekitar 18,9 juta entri, tersebar dalam beberapa indeks data, antara lain data keanggotaan, data perilaku dalam game, data aset, dan snapshot konsumen.

Rincian data yang dilaporkan terekspos meliputi:

• Sekitar 6,6 juta Union ID unik — identifikasi pengguna lintas mini app dalam ekosistem WeChat
• Sekitar 1,7 juta nomor telepon unik
• Sekitar 24.000 kombinasi nama lengkap dan tanggal lahir
• Data keanggotaan saja mencapai lebih dari 10 GB

Perlu dicatat, Union ID berfungsi sebagai pengenal tunggal pengguna di seluruh ekosistem WeChat. Dengan data ini, pelaku kejahatan siber dapat menghubungkan aktivitas pengguna di berbagai mini app sekaligus, sehingga profil target menjadi jauh lebih lengkap dan akurat untuk keperluan penipuan.

Dua Bulan Terbuka: Kronologi dan Konfigurasi Server

Cybernews melaporkan bahwa kluster Elasticsearch yang bocor tersebut dapat diakses publik setidaknya sejak 19 Maret 2026 hingga 18 Mei 2026 — rentang waktu sekitar dua bulan. Setelah Cybernews menghubungi Wahlap, arsip tersebut dikonfirmasi telah diamankan kembali.

Dari sisi infrastruktur, data yang terekspos tersimpan di kluster Elasticsearch yang terdiri dari tiga server milik Wahlap. Yang memperparah situasi, data yang bocor juga dilaporkan mencakup informasi identitas pribadi pengguna di bawah umur, termasuk nama, tanggal lahir, dan data lokasi. Keberadaan data lokasi ini dinilai sangat serius karena membuka potensi risiko fisik, bukan sekadar ancaman siber seperti phishing.

Mengingat instans tersebut terbuka selama dua bulan penuh, kemungkinan adanya pemindaian otomatis oleh pihak ketiga yang tidak bertanggung jawab tidak dapat dikesampingkan.

Siapa Wahlap dan Mengapa WeChat Menjadi Jalur Pengumpulan Data?

Wahlap adalah salah satu produsen mesin arkade terbesar di dunia, dengan klien yang mencakup nama-nama besar seperti Sega dan Timezone. Untuk pasar Tiongkok, perusahaan ini mengoperasikan "Wahlap WeChat Mini Program" — aplikasi ringan yang berjalan langsung di dalam platform WeChat tanpa perlu diunduh secara terpisah.

WeChat sendiri merupakan super app dominan di Tiongkok yang mengintegrasikan pesan instan, pembayaran digital, hingga game ringan dalam satu platform. Wahlap memanfaatkan ekosistem ini untuk mengumpulkan data interaksi pengguna dengan layanannya, yang kemudian diagregasikan ke dalam instans Elasticsearch — dan itulah titik lemah yang terekspos.

Pola ini bukan pertama kalinya terjadi. Cybernews mencatat bahwa insiden serupa pernah terjadi sebelumnya, di mana rekaman terkait WeChat bocor melalui database pihak ketiga yang salah konfigurasi — bukan dari server internal WeChat itu sendiri. Kasus Wahlap mengikuti pola yang sama persis.

Risiko Nyata bagi Pengguna dan Langkah yang Dapat Diambil

Cybernews mengingatkan bahwa kombinasi data seperti nomor telepon, nama, tanggal lahir, dan riwayat pendaftaran game tertentu dapat dimanfaatkan untuk menyusun pesan phishing yang sangat meyakinkan. Misalnya, pesan yang mengatasnamakan dukungan teknis Wahlap atau notifikasi hadiah dari game arkade tertentu akan terasa jauh lebih kredibel jika pelaku sudah mengetahui detail spesifik akun korban.

Bagi siapa pun yang pernah menggunakan mini app WeChat milik Wahlap atau layanan arkade terkait, beberapa langkah pencegahan yang realistis antara lain:

• Jangan merespons pesan atau SMS mencurigakan yang mengatasnamakan Wahlap, WeChat, atau nama game arkade terkait
• Segera ganti kata sandi pada akun yang menggunakan kata sandi yang sama dengan akun Wahlap atau WeChat
• Waspadai SMS phishing yang mengklaim adanya hadiah, pembaruan akun, atau verifikasi identitas

Penting untuk digarisbawahi: hingga saat ini, Wahlap belum mengeluarkan pernyataan resmi mengenai insiden ini, dan belum ada laporan resmi tentang penyalahgunaan data. Namun, absennya bukti pencurian data bukan berarti data tersebut aman — melainkan hanya belum terkonfirmasi.

Implikasi bagi Pengguna di Indonesia

Meskipun mini app WeChat Wahlap ditujukan untuk pasar Tiongkok, mesin arkade Wahlap beroperasi di berbagai wahana hiburan di Asia Tenggara, termasuk Indonesia. Pengguna yang pernah berinteraksi dengan layanan digital Wahlap melalui WeChat — misalnya saat berkunjung ke pusat hiburan di luar negeri — berpotensi termasuk dalam data yang terekspos.

Bagi konsumen di Indonesia, insiden ini menjadi pengingat penting bahwa data yang dikumpulkan oleh aplikasi atau mini app pihak ketiga, meski tampak sepele, dapat menjadi celah keamanan yang serius jika pengelolanya tidak menerapkan standar keamanan data yang memadai. Selalu berhati-hati dalam memberikan data pribadi kepada layanan digital, terlepas dari platform tempat layanan tersebut beroperasi.

Sumber

• TechRadar — Top arcade game maker leaks nearly 19 million user records via WeChat mini app
• Cybernews — Major arcade game maker leaks millions of records via WeChat mini app
• ExpressVPN Blog — Is WeChat safe? A complete privacy and security guide