Initializing
Siber.Web.ID
MENU_SYSTEM
Security Insights

Insider Trading di Polymarket, Eks-Security Engineer Google Raup Rp19 Miliar Pakai Data Internal

I
Online

Seorang security engineer Google ditangkap di New York dan didakwa melakukan insider trading di platform prediksi Polymarket. Michele Spagnuolo, warga negara Italia berusia 36 tahun yang tinggal di Swiss, memanfaatkan akses internal ke data rahasia Google Year in Search 2025 untuk memasang taruhan dengan akurasi hampir sempurna. Total keuntungan yang ia raup mencapai lebih dari USD 1.2 juta atau sekitar Rp19 miliar.

Infografik Insider Trading di Polymarket, Eks-Security Engineer Google


Kronologi Kasus

Spagnuolo telah bekerja di Google sejak 2014 sebagai security engineer. Dalam perannya, ia membangun produk, spesifikasi keamanan, dan memimpin berbagai proyek di unit keamanan informasi. Akses internal yang dimilikinya termasuk ke data sensitif Google Year in Search, yaitu daftar orang dan topik yang paling banyak dicari sepanjang tahun 2025. Data ini bersifat sangat rahasia dan hanya boleh diakses oleh karyawan tertentu untuk keperluan marketing.

Pengadilan yang dirilis Departemen Kehakiman

Menurut dokumen pengadilan yang dirilis Departemen Kehakiman AS (DOJ) pada 27 Mei 2026, Spagnuolo membuat akun Polymarket pada Mei 2024 dengan username “AlphaRaccoon.” Antara Oktober hingga Desember 2025, ia memasang taruhan pada 23 dari 25 kontrak Year in Search yang tersedia di Polymarket, termasuk kontrak seperti “#1 Searched Person on Google this year” dan “Top 5 Most Searched People on Google 2025.”

“Corporate insiders cannot use confidential information to turn a profit in our markets. Insider trading compromises the integrity of our markets, and the American people want this greed-driven conduct investigated and prosecuted.”

– Jay Clayton, US Attorney for the Southern District of New York


Dari Data Internal Google ke Uang Kripto

Investigasi FBI mengungkap bahwa Spagnuolo tidak hanya mengakses data secara tidak sah, tetapi juga mengambil langkah-langkah sistematis untuk menyembunyikan jejaknya. Ia menggunakan dompet kripto untuk mendanai akun Polymarket dan melakukan beberapa transfer melalui layanan penukaran kripto (cryptocurrency swapping service). Setelah Google merilis hasil Year in Search pada awal Desember 2025 dan spekulasi mulai merebak di Discord dan X bahwa akun tersebut adalah orang dalam Google, Spagnuolo mengganti username Polymarket-nya menjadi alamat dompet alfanumerik.

Yang menarik dari sisi keamanan siber: Spagnuolo adalah security engineer. Ia tahu persis cara kerja sistem deteksi Google, cara menghindari audit, dan celah-celah yang bisa dieksploitasi untuk mengambil data tanpa terdeteksi. Kasus ini menunjukkan bahwa insider threat tidak selalu datang dari karyawan non-teknis, melainkan bisa berasal dari orang yang justru paling memahami sistem keamanan perusahaan.

Fakta Kunci Kasus

Spagnuolo mempertaruhkan sekitar USD 2.75 juta pada 25 kontrak yang dianggap pasar berpeluang kecil. Dengan akurasi hampir sempurna, ia menghasilkan laba USD 1.2 juta. Tool internal Google yang ia akses menampilkan banner “Google Confidential” dengan teks merah, dan Spagnuolo telah mengkonfirmasi pemahamannya terhadap kebijakan kerahasiaan dan etika perusahaan.


Dakwaan dan Ancaman Hukuman

Spagnuolo menghadapi tiga jenis dakwaan sekaligus. Pertama, pelanggaran Commodity Exchange Act karena menggunakan informasi orang dalam untuk bertransaksi di pasar prediksi yang berada di bawah yurisdiksi CFTC. Kedua, penipuan kawat (wire fraud) karena menggunakan sistem komunikasi antarnegara bagian untuk melaksanakan skema penipuan. Ketiga, pencucian uang (money laundering) terkait upaya menyembunyikan asal-usul keuntungannya.

Hukuman maksimal kumulatif yang bisa dijatuhkan mencapai 50 tahun penjara. Selain itu, CFTC juga mengajukan gugatan perdata yang menuntut pengembalian keuntungan (restitution), denda sipil, larangan trading dan registrasi, serta injunksi permanen terhadap pelanggaran regulasi lebih lanjut.

Institusi Jenis Dakwaan Ancaman Hukuman
DOJ (Kejaksaan AS) Wire fraud, money laundering Hingga 50 tahun penjara
CFTC (Regulator Komoditas) Insider trading (perdata) Restitusi, denda, larangan trading
Google (Internal) Pelanggaran kebijakan Pemecatan (sedang cuti)

Pelajaran untuk Keamanan Perusahaan

Kasus Spagnuolo membuka kembali diskusi tentang insider threat di industri teknologi. Beberapa poin kritis untuk tim keamanan perusahaan:

  • Privilege separation – Akses ke data sensitif harus dipisahkan secara ketat. Tool internal yang mengandung data rahasia tidak boleh bisa diakses oleh semua engineer, termasuk oleh security engineer sekalipun.
  • Behavioral monitoring – Akses ke data rahasia di luar jam kerja atau dari lokasi tidak biasa harus memicu alert. Dalam kasus ini, akses Spagnuolo ke data Year in Search untuk kepentingan pribadi seharusnya bisa terdeteksi lebih awal.
  • Zero trust untuk insider – Prinsip zero trust harus berlaku untuk semua karyawan, termasuk mereka yang bekerja di tim keamanan. Akses ke data rahasia tetap perlu approval dan audit trail.
  • Perhatikan transaksi mencurigakan – Volume trading besar di platform prediksi oleh karyawan perusahaan teknologi bisa menjadi indikator awal kebocoran data internal.

Google sendiri menyatakan bahwa tool internal yang digunakan Spagnuolo sebenarnya tersedia untuk semua karyawan. Namun menggunakan informasi rahasia tersebut untuk bertaruh merupakan pelanggaran serius terhadap kebijakan perusahaan. Google telah menempatkan Spagnuolo dalam status cuti dan akan mengambil tindakan sesuai hasil investigasi.


Prediction Market dan Tantangan Regulasi

Kasus ini juga menjadi preseden penting untuk regulasi prediction market seperti Polymarket. CFTC di bawah kepemimpinan Chairman Michael S. Selig menegaskan bahwa komoditas dan prediksi berbasis blockchain tidak kebal dari hukum insider trading. “Komisi tidak akan mentolerir penipuan, manipulasi, atau insider trading, terlepas dari teknologi atau platform yang digunakan,” tegas Selig dalam pernyataan resmi.

Bagi perusahaan di Indonesia, kasus ini menjadi pengingat bahwa insider threat tetap menjadi salah satu risiko keamanan paling serius. Bukan karena teknik serangannya yang rumit, melainkan karena pelaku sudah memiliki akses sah dan memahami cara menghindari deteksi. Investasi dalam deteksi anomali akses data dan pemisahan privilege yang ketat bisa mencegah kerugian yang jauh lebih besar daripada biaya implementasinya.

Kesimpulan

Bagikan Artikel
Security Tools