JAKARTA (RIAUPOS.CO) — Isu keamanan data pribadi kembali menimpa sektor digital Indonesia. Kali ini, salah satu e-commerce terbesar Indonesia, Tokopedia. Serangan dari hacker berhasil meretas 91 juta data pengguna Tokopedia dan menjualnya ke pasar gelap digital. Meski Tokopedia mengklaim bahwa informasi penting pengguna termasuk transaksi keuangan berhasil dilindungi, kasus ini membut sistem keamanan Tokopedia dipertanyakan.
Sebuah akun twitter bernama @underthebreach, Sabtu lalu (2/5), memposting sebuah screen capture yang melaporkan bahwa ada seorang "aktor" yang maksudnya adalah seorang hacker, telah meretas data pengguna Tokopedia sejak Maret 2020 lalu dan mendapatkan 15 juta data pengguna. Data tersebut dijual di darknet atau pasar gelap internet, dengan banderol harga 10 euro atau sekitar Rp165 ribu. Tak berhenti di situ, akun twitter yang sama kemarin (3/5) memberikan update bahwa si "aktor" telah mengantongi 91 juta data pengguna Tokopedia. Angka tersebut kurang lebih merupakan total user Tokopedia, yang sampai akhir tahun 2019 lalu dilaporkan sudah ada sekitar 91 juta pengguna. Data-data tersebut juga dijual di darknet, kali ini dengan banderol 5.000 dolar AS atau sekitar Rp74 juta. "Ini sangat buruk, pastikan Anda mengganti password di website yang lain jika Anda menggunakan password yang sama," kicau @underthebreach, yang mengklaim dirinya sebagai data breach monitoring and prevention service dan berbasis di Israel tersebut.
Semua data pengguna Tokopedia yang dijual di forum gelap itu disebutkan berisi informasi email, nama, serta password hashes. Sebagai informasi, password hashes merupakan password yang masih berupa data mentah (data samar) karena mekanisme keamanan pemilik website. Sejauh ini, diketahui si "aktor" tersebut belum berhasil memecahkan data mentah tersebut untuk bisa menembus password asli milik pengguna. Dari tangkapan layar di media sosial, si "aktor" menjelaskan hal tersebut di sebuah forum hacker. "Password hash memiliki algoritma yang tidak diketahui. Saya mencari seseorang yang dapat memecahkannya," tulis si aktor pada sebuah forum, dengan username dan judul forum yang disamarkan, dilansir dari akun twitter @underthebreach.
Menanggapi isu tersebut, Tokopedia memberikan konfirmasi bahwa pihaknya memang menemukan adanya upaya pencurian data terhadap pengguna Tokopedia. "Namun Tokopedia memastikan, informasi penting pengguna, seperti password, tetap berhasil terlindungi," tegas Vice President of Corporate Communications Tokopedia Nuraini Razak, kemarin.
Nuraini menjelaskan bahwa password dan informasi krusial pengguna tetap terlindungi dengan baik di balik enkripsi, namun pihaknya menyarankan pengguna Tokopedia tetap mengganti password akunnya secara berkala demi keamanan. "Tokopedia juga memastikan tidak ada kebocoran data pembayaran. Seluruh transaksi dengan semua metode pembayaran termasuk informasi kartu debit, kartu kredit, dan OVO tetap terjaga keamanannya," tambahnya.
Sebagai langkah preventif, Nuraini mengatakan bahwa Tokopedia juga menerapkan keamanan berlapis, termasuk dengan sistem One-Time Password (OTP) yang hanya dapat diakses secara real time oleh pemilik akun saat ingin melakukan login pada akunnya. "Kami selalu mengedukasi seluruh pengguna untuk tidak memberikan OTP kepada siapapun dan untuk alasan apapun," pungkasnya.(agf/jpg)
Tokopedia bukan e-commerce satu-satunya yang menjadi sasaran hacker. Tahun lalu, e-commerce dengan basis pengguna tak kalah besar yakni Bukalapak, juga pernah dikabarkan diretas data penggunanya. Sekitar bulan Maret 2019, seorang peretas dengan nama alias Gnosticplayers menebar informasi di media sosial bahwa dirinya telah mencuri 26 juta data pengguna online dari enam situs internet, dimana 13 juta akun di antaranya merupakan data pengguna Bukalapak. Database akun tersebut dijual di darknet dengan harga yang kurang lebih sama yakni 5.000 dolar AS.
Pada saat itu, Head of Corporate Communications Bukalapak Intan Wibisono mengatakan bahwa memang ada upaya dari hacker untuk meretas situs Bukalapak. Namun Intan memastikan bahwa data penting pengguna seperti password, rekaman finansial, serta informasi pribadi lain aman dari serangan hacker.
"Upaya peretasan seperti ini memang sangat berpotensi terjadi di industri digital. Kami selalu berupaya meningkatkan keamanan di Bukalapak dan memastikan data-data penting pengguna tidak disalahgunakan," ujarnya.
Semakin sering terjadinya kasus pencurian data pengguna, Pengurus Harian Yayasan Lembaga Konsumen Indonesia (YLKI) Sudaryatmo mengatakan bahwa hal ini mengingatkan pentingnya regulasi mengenai perlindungan data pribadi. Sebab, sampai saat ini disebut dia belum ada Undang-Undang-nya. "Selama ini yang ada aturan sektoral, belum berupa undang-undang. Dari persoalan-persoalan yang terjadi, kita butuh yang namanya data protection act, yang khusus mengatur perlindungan data pribadi," ujar Sudaryatmo.
Spesifik berbicara soal kasus yang menimpa Tokopedia, Ketua Pengurus Harian YLKI Tulus Abadi menduga bahwa sistem IT di Tokopedia tidak cukup andal sehingga dapat diretas oleh pihak lain. Untuk itu, YLKI mendorong pihak Tokopedia untuk memberikan klarifikasi pada publik terkait sistem dan teknologi yang dipakai dalam perlindungan data pribadi.
"Termasuk apakah sistem perlindungan data pribadi di Tokopedia digaransi oleh pihak ketiga atau tidak. Berapa lapis sistem keamanan perlindungan data pribadi yang digunakan," ujar Tulus. Selain itu, YLKI juga meminta Pemerintah untuk turun tangan dalam kasus peretasan sistem IT di Tokopedia, guna memberikan perlindungan dan rasa aman konsumen.(agf/jpg)