batampos.co.id – Isu keamanan data pribadi kembali menimpa sektor digital Indonesia. Kali ini salah satu e-commerce terbesar Indonesia, Tokopedia, mendapat serangan dari hacker. Untung, upaya pembobolan data itu dapat digagalkan. Meski demikian, demi keamanan lebih lanjut, pengguna Tokopedia diminta mengganti password.
Informasi pembobolan itu berawal dari akun Twitter bernama @underthebreach. Sabtu lalu (2/5) akun tersebut mem-posting sebuah screen capture yang melaporkan bahwa ada seorang ”aktor”, yang maksudnya adalah hacker, meretas data pengguna Tokopedia. Aksi itu dilakukan sejak Maret 2020. Si hacker mengeklaim berhasil mendapatkan 15 juta data pengguna Tokopedia. Data tersebut ditawarkan di darknet alias pasar gelap internet dengan banderol harga EUR 10 atau sekitar Rp 165 ribu.
Tak berhenti di situ, akun Twitter yang sama kemarin (3/5) memberikan update bahwa si ”aktor” telah mengantongi 91 juta data pengguna Tokopedia. Angka tersebut kurang lebih merupakan total user Tokopedia yang sampai akhir 2019 dilaporkan sudah ada sekitar 91 juta pengguna. Data-data tersebut juga dijual di darknet, kali ini dengan banderol USD 5.000 atau sekitar Rp 74 juta.
”Ini sangat buruk, pastikan Anda mengganti password di website yang lain jika Anda menggunakan password yang sama,” kicau @underthebreach yang mengeklaim dirinya sebagai data breach monitoring and prevention service dan berbasis di Israel tersebut.
Semua data pengguna Tokopedia yang dijual di forum gelap itu disebutkan berisi informasi e-mail, nama, serta password hashes. Sebagai informasi, password hashes merupakan password yang masih berupa data mentah (data samar) karena mekanisme keamanan pemilik website. Sejauh ini, diketahui si ”aktor” tersebut belum berhasil memecahkan data mentah tersebut untuk bisa menembus password asli milik pengguna Tokopedia.
Dari tangkapan layar di media sosial, si ”aktor” menjelaskan hal tersebut di sebuah forum hacker. ”Password hash memiliki algoritma yang tidak diketahui. Saya mencari seseorang yang dapat memecahkannya,” tulis si aktor pada sebuah forum dengan username dan judul forum yang disamarkan, dilansir dari akun Twitter @underthebreach.
Menanggapi isu tersebut, Tokopedia memberikan konfirmasi bahwa pihaknya memang menemukan adanya upaya pencurian data pengguna. ”Namun, Tokopedia memastikan, informasi penting pengguna seperti password tetap berhasil terlindungi,” tegas Vice President of Corporate Communications Tokopedia Nuraini Razak kemarin.
Nuraini menjelaskan bahwa password dan informasi krusial pengguna tetap terlindungi dengan baik di balik enkripsi. Meski demikian, pihaknya menyarankan pengguna Tokopedia agar mengganti password akun secara berkala demi keamanan. ”Tokopedia juga memastikan tidak ada kebocoran data pembayaran. Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit, dan OVO tetap terjaga keamanannya,” tambahnya.
Sebagai langkah preventif, Nuraini mengatakan bahwa Tokopedia juga menerapkan keamanan berlapis, termasuk dengan sistem one-time password (OTP) yang hanya dapat diakses secara real time oleh pemilik akun saat ingin melakukan login. ”Kami selalu mengedukasi seluruh pengguna untuk tidak memberikan OTP kepada siapa pun dan untuk alasan apa pun,” terangnya.
Tokopedia bukan e-commerce satu-satunya yang menjadi sasaran hacker. Tahun lalu e-commerce dengan basis pengguna tak kalah besar, yakni Bukalapak, juga dikabarkan berusaha diretas. Sekitar Maret 2019, seorang peretas dengan nama alias Gnosticplayers menebar informasi di media sosial bahwa dirinya telah mencuri 26 juta data pengguna online dari enam situs internet. Sebanyak 13 juta akun di antaranya diklaim sebagai data pengguna Bukalapak. Database akun tersebut dijual di darknet dengan harga yang kurang lebih sama, yakni USD 5.000.
Pada saat itu, Head of Corporate Communications Bukalapak Intan Wibisono mengakui, ada upaya hacker untuk meretas situs Bukalapak. Namun, Intan memastikan bahwa data penting pengguna seperti password, rekaman finansial, serta informasi pribadi lain aman dari serangan hacker. ”Upaya peretasan seperti ini memang sangat berpotensi terjadi di industri digital. Kami selalu berupaya meningkatkan keamanan di Bukalapak dan memastikan data-data penting pengguna tidak disalahgunakan,” tegasnya.
Sementara itu, pengurus harian Yayasan Lembaga Konsumen Indonesia (YLKI) Sudaryatmo mengingatkan pentingnya regulasi mengenai perlindungan data pribadi. Sebab, sampai saat ini belum ada undang-undang yang mengatur mengenai hal tersebut. ”Selama ini yang ada aturan sektoral, belum berupa undang-undang. Dari persoalan-persoalan yang terjadi, kita butuh yang namanya data protection act, yang khusus mengatur perlindungan data pribadi,” ujar Sudaryatmo.
Ketua Pengurus Harian YLKI Tulus Abadi mendorong pihak Tokopedia memberikan klarifikasi kepada publik terkait sistem dan teknologi yang dipakai dalam perlindungan data pribadi. ”Termasuk apakah sistem perlindungan data pribadi di Tokopedia digaransi oleh pihak ketiga atau tidak. Berapa lapis sistem keamanan perlindungan data pribadi yang digunakan,” ujar Tulus. Selain itu, YLKI meminta pemerintah untuk turun tangan dalam kasus peretasan sistem IT di Tokopedia guna memberikan perlindungan dan rasa aman kepada konsumen.
Sementara itu, Kementerian Komunikasi dan Informatika telah meminta pengelola platform digital Tokopedia untuk melakukan investigasi internal. Tujuannya, memastikan dugaan data breach pada platform marketplace itu dan mengambil langkah-langkah yang diperlukan untuk menjamin keamanan data pengguna.
”Terkait permasalahan ini, saya telah meminta Dirjen Aptika (aplikasi informatika, Red) untuk memanggil direksi Tokopedia agar memberikan penjelasan terkait hal ini. Pertemuan akan dilakukan Senin, tanggal 4 Mei (hari ini),” jelas Menteri Kementerian Kominfo Johnny G. Plate di Jakarta kemarin.
Dia menjelaskan, pihaknya sudah mengirimkan surat dan berkoordinasi dengan manajemen Tokopedia. Tim teknis Kementerian Kominfo juga sudah melakukan koordinasi teknis untuk menindaklanjuti isu pembobolan data pengguna Tokopedia.
Lebih lanjut, politikus Partai Nasdem itu menjelaskan, Kementerian Kominfo juga telah meminta Tokopedia melakukan tiga hal untuk menjamin keamanan data pengguna. Pertama, segera melakukan pengamanan sistem untuk mencegah meluasnya data breach. Kedua, memberi tahu pemilik akun yang mungkin data pribadinya terekspos. Ketiga, melakukan investigasi internal untuk memastikan dugaan data breach serta apabila telah terjadi, mencari tahu penyebab data breach tersebut.
Selain itu, kata Johnny, Kementerian Kominfo telah meminta laporan tentang pemberitahuan dugaan kebocoran data kepada pemilik akun, tindakan pengamanan sistem yang dilakukan, serta potensi dampak data breach kepada pemilik data. ”Kami masih menunggu laporan tersebut selesai dibuat.” (jpg)