Dawinusa.com Tokopedia mengakui adanya upaya pencurian data oleh hacker pada Sabtu (2/5), walaupun perusahaan mengklaim informasi berharga seperti password dapat dilindungu.

Data yang diduga bocor ini bukan cuma sebanyak 15 juta, tetapi mencapai 91 juta data yang kemudian dijual murah di dark web dengan harga 5.000 dolar AS atau sekitar Rp 73,4 juta.

Baca juga: Kabar Terkini: Lion Air Group Batal Terbang Mulai 3 Mei 2020

Informasi peretasan awalnya diungkap akun Twitter @underthebreach. Di situ disebutkan peretasan terjadi pada Maret 2020 dan mempengaruhi 15 juta pengguna.

Melalui keterangan tertulis, Minggu (3/5/2020), VP of Corporate Communications Tokopedia Nuraini Razak memastikan tidak ada kebocoran data pembayaran. Menurutnya, keamanan seluruh transaksi dengan semua metode pembayaran masih terjaga.

“Tokopedia memastikan tidak ada kebocoran data pembayaran. Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit dan OVO, di Tokopedia tetap terjaga keamanannya,” kata Nuraini Razak.

Para pakar keamanan siber kemudian menelusuri jejak peretasan dan penjualan data pribadi itu di dark web atau dark net, sebuah situs web dan forum online yang terenkripsi sehingga tidak terindeks oleh mesin pencari (search engine) biasa. Untuk mengakses dark web, orang memerlukan browser web khusus yang disebut Tor.

Pakar keamanan siber, Pratama Persadha dari Communication & Information System Security Research Center (CISSReC), mengungkap bahwa peretas data Tokopedia tersebut pertama kali mengumbar hasil retasannya menggunakan nama Whysodank lewat dark web Raid Forums pada Sabtu (2/5).

Dia mengumbar 15 juta data pengguna Tokopedia berupa email, username, tanggal lahir, nomor HP, dan hash password.

Raid Forums merupakan forum komunitas hacker di internet yang berisi informasi-informasi terkait dengan database bocoran data, hingga berbagi prank dan komunitas pengolok.

Di sini, peretas mencoba untuk meminta bantuan rekan hacker untuk membuka hash dari password akun para pengguna Tokopedia. Dia mengalami kesulitan untuk membuka password.

Hash adalah sebuah algoritma yang mengubah suatu data informasi berupa huruf, angka, atau simbol menjadi karakter terenkripsi. Fungsi hash biasanya dimanfaatkan untuk menyembunyikan, menyamarkan atau mengacak password asli.

Setelah itu, ada lagi peretas ShinyHunters mem-posting thread penjualan 91 juta akun Tokopedia di forum dark web bernama EmpireMarket.

Pratama mengatakan bahwa ia belum bisa mengidentifikasi apakah peretasan ini dilakukan secara perorangan atau berkelompok. Hingga saat ini, CISSReC masih mendalaminya.

Selain itu, Pratama menekankan bahwa meski password muncul dalam bentuk yang belum bisa dimanfaatkan oleh para hacker, namun data pribadi lain yang sudah dibuka bisa disalahgunakan oleh hacker. Misalnya mengirimkan link phising maupun upaya social engineering lain.

“Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan dilakukan adalah takeover akun. Lalu pelaku secara random akan mencoba melakukan take over akun medsos dan marketplace lainnya, karena ada kebiasaan penggunaan password yang sama untuk semua platform,” terang Pratama.

Beri Informasi ke Pengguna

Pratama mengatkan, Tokopedia harus memberikan informasi kepada para penggunanya yang terkena dampak secepatnya. Hal itu karena Pratama menilai hacker sudah masuk ke dalam database Tokopedia namun hanya data pengguna saja yang dipublikasikan.

“Namanya hacker, kalau bisa masuk ke dalam sistem orang lain tentu nggak cuma sedikit data saja yang diambil, bisa jadi semuanya diambil tapi memang belum dipublikasikan. Ini kan mereka bisa masuk sampai ke databasenya Tokopedia,” ungkap Pratama.

Baca juga: Pemerintah Pastikan Tes SKB Penerimaan CPNS 2019 Tetap Ada

Sementara untuk data pembayaran, Tokopedia memberi jaminan bahwa poin ini masih aman. “Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit dan OVO, di Tokopedia tetap terjaga keamanannya,” kata Nuraini Razak, VP of Corporate Communications Tokopedia.

Untuk sementara, ada baiknya apabila para pengguna Tokopedia untuk mengganti password, lalu mengaktifkan sistem keamanan two-factor authentication dengan OTP (One Time Password) lewat SMS, dan mengantifkan PIN untuk verifikasi transaksi.

Hal ini dapat mencegah hacker melakukan kejahatan lebih lanjut dengan data pengguna yang sudah berhasil dapatkan.

Dipanggil Kominfo

Menteri Komunikasi dan Informatika Johnny G Plate mengatakan pihaknya akan memanggil direksi Tokopedia menyusul dugaan pembobolan data pengguna platform jual beli online tersebut.

“Terkait permasalahan ini, saya telah meminta Dirjen Aptika untuk memanggil Direksi Tokopedia agar memberikan penjelasan terkait hal ini. Pertemuan akan dilakukan Senin, 4 Mei 2020,” kata dia dalam keterangan tertulis, Minggu (3/5/2020).

Baca juga: Melihat Fakta Penyebaran Corona dari Klaster Ijtima Ulama Gowa di NTT

Untuk saat ini, ia mengatakan kementeriannya telah meminta perseroan untuk melakukan investigasi internal terkait persoalan tersebut. Selanjutnya startup unicorn tersebut diminta mengambil langkah-langkah yang diperlukan guna menjamin keamanan data pengguna.

“Kami sudah bersurat dan berkoordinasi dengan Tokopedia. Tim teknis Kominfo sudah melakukan koordinasi teknis untuk menindaklanjuti adanya isu pembobolan data pengguna,” tutur Johnny.

Setidaknya, kata politikus Partai Nasdem itu, ada tiga hal yag mesti dilakukan Tokopedia untuk menjamin keamanan data pengguna. Pertama, perseroan mesti segera melakukan pengamanan sistem untuk mencegah meluasnya pembobolan data.

Kedua, memberitahu pemilik akun yang kemungkinan data pribadinya terekspos. Ketiga, melakukan investigasi internal untuk memastikan dugaan pencurian data, serta apabila telah terjadi, mencari tahu penyebab bobolnya data tersebut.

Kominfo juga telah meminta laporan tentang pemberitahuan dugaan kebocoran data kepada pemilik akun, tindakan pengamanan sistem yang di;akukan, serta potensi dampak data breach kepada pemilik data. “Kami, masih menunggu laporan tersebut selesai dibuat,” tutur Johnny.*