Situs belanja Tokopedia dilaporkan mengalami peretasan, seperti dalam cuitan akun twitter @underthebreach. Pakar keamanan siber dari Vaksin.com Alfons Tanujaya justru memperkirakan ada 91 juta akun atau data pengguna dan 7 juta akun merchant yang disebarkan dan di jual di dark web.
semarak.co -Tidak lagi 15 juta seperti diinfokan sebelumnya. Padahal di 2019, Tokopedia menginfokan bahwa ada sekitar 91 juta akun aktif di platformnya. Artinya hampir semua akun di Tokopedia berhasil diambil datanya oleh peretas.
Alfons mengutip, menurut pantauan Vaksin.com, sebenarnya malah ada 91 juta databased yang disebarkan di dark web dan berusaha dijual dengan harga 5.000 dolar AS, Menurut Alfons, jumlah tersebut bahkan sesuai dengan penyataan Tokopedia belum lama ini yang menyebut memiliki lebih dari 90 juta pengguna aktif bulanan.
“Kalau ditawarkan sebanyak itu, harusnya memang benar. Itu juga terkonfirmasi dengan pernyataan Tokopedia. Informasi yang bocor adalah username, alamat email, tanggal lahir dan nomor telepon,” terang Alfons saat dihubungi wartawan di Jakarta, Minggu (3/5/2020).
Kebocoran nomor telepon, menurut Alfons, cukup mengkhawatirkan, sebab dapat digunakan untuk rekayasa sosial, memalsukan diri sebagai Tokopedia misalnya, dengan iming-iming menang undian, lalu membohongi korban.
Di dalam data yang bocor, lanjut Alfons, password bentuk hash, yang telah dienkrip, sehingga tanpa mengetahui kunci dekrip cukup sulit untuk mendapatkan password.
Menurut Alfons, seharusnya semua layanan online yang mengelola database dan password memang telah melakukan fungsi hashing untuk menyimpan semua password agar jika terjadi kebocoran, maka password tetap aman.
Meski password telah dienkripsi, pembobolan dapat dilakukan dengan metode brute force, upaya serangan dengan menggunakan algoritma yang menggabungkan huruf, angka dan simbol untuk menghasilkan password.
“Brute force itu bisa terjadi kalau dari Tokopedianya tidak memblokir proses brute force, jadi kalau diblokir, login gagal sekali tahan dulu 10 menit, gagal dua kali tahan 20 menit, gagal tiga kali tahan satu jam, dan seterusnya, jadi secara teknis sangat sulit jika ada proteksi brute force untuk melakukan brute force dengan password ini,” ujarnya.
Untuk mengantisipasi kemanan pengguna, Alfons menyarankan Tokopedia untuk memberikan perhatian ekstra pada pengamanan infrastruktur khususnya yang berhubungan dengan kredensial dan database pengguna, terlebih dalam masa Work From Home (WFH) seperti saat ini.
“Karena meningkatnya user dan aktivitas selama WFH, otomatis meningkatkan beban kerja admin dengan luar biasa,” kata dia.
Sementara itu, dalam keterangan tertulisnya, Minggu siang (3/5/2020), Vice President (VP) of Corporate Communications Tokopedia Nuraini Razak menjamin tidak ada kebocoran data pembayaran.
“Tokopedia memastikan tidak ada kebocoran data pembayaran. Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit terjaga keamanannya,” ujar Nuraini.
pakar keamanan siber Pratama Persadha mengatakan, pelaku menjual data di darkweb berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone dan password yang masih ter-hash atau tersandi.
“Semua dijual dengan harga USD 5.000 atau sekitar Rp 74 juta. Bahkan ada 14.999.896 akun Tokopedia yang datanya saat ini bisa didownload. Kejadian seperti ini harus cepat direspon oleh pihak Tokopedia dan juga para penggunanya. Karena ancaman penipuan dan pengambilalihan akun bisa terjadi kapan saja,” imbuh Pratama dalam keterangannya di Jakarta, Minggu (3/5/2020).
Peretas Whysodank pertama kali mempublikasikan hasil peretasan di raid forum pada Sabtu (2/5/2020), kutip Pratama, kemudian peretas ShinyHunters memposting thread penjualan 91 juta akun Tokopedia di forum darkweb bernama EmpireMarket. Dari sinilah akun @underthebreach mempublikasikan peretasan Tokopedia ke publik Twitter.
“Memang data untuk password masih dienkripsi, namun tinggal menunggu waktu sampai ada pihak yang bisa membuka. Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password,” jelas chairman Lembaga Riset SIber Indonesia CISSReC (Communication & Information System Security Research Center).
Ditambahkan Pratama, meski password masih dalam bentuk acak, namun data lain sudah plain alias terbuka. Artinya semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet.
Misalnya mengirimkan link phising maupun upaya social engineering lainnya, lanjut dia, karena itu seharusnya Tokopedia melakukan update dan informais kepada seluruh penggunanya segera.
“Bila nantinya password sudah berhasil dibukan oleh pelaku, pastinya salah satu yang akan dilakukan adalah takeover akun. Lalu pelaku secara random akan mencoba melakukan take over akun medsos dan marketplace lainnya, karena ada kebiasaan penggunaan password yang sama untuk semua platform,” terang pria asal Cepu Jawa Tengah ini.
Pratama menggarisbawahi yang bisa dilakukan pengguna Tokopedia adalah mengganti password dan mengaktifkan OTP (one time password) lewat SMS. Lalu mengganti semua password dari akun medsos dan platform marketplace selain tokopedia.
“Akibat peretasan Tokopedia ini bisa menjalar ke akun media sosial dan platform lainnya bila menggunakan email dan password yang sama. Terutama bagi admin akun medsos pemerintah dan lembaga harus cepat melakukan pengamanan akun sebagai langkah antisipasi,” jelasnya.
Saat mendapatkan sampel data dari forum, kata dia, belum ada data kartu kredit maupun debet yang disebar pelaku. Harapannya data kartu tidak ikut menjadi salah satu yang berhasil diretas. “Pihak Tokopedia harus bertanggungjawab atas kejadian ini karena data penggunanya diambil dan diperjualbelikan,” imbuhnya.
Pihak Tokopedia wajib secara berulang-ulang, sambungnya, dengan menggunakan segala sarana media yang ada, mensosialisasikan apa saja yang harus dilakukan oleh para penggunanya, seperti ganti password akun dan mengaktifkan OTP, sampai semua penggunanya menyadari kebocoran ini dan mau mengganti passwordnya.
Kejadian ini bukan yang pertama kali di tanah air. Sebelumnya Bukalapak juga mengalami hal serupa. Seharusnya ini menjadi peringatan keras pada setiap penyedia layanan di internet yang memakai banyak data masyarakat dalam kegiatannya.
Penetration test harus sesering mungkin dilakukan untuk mengetahui di mana saja letak celah keamanan. Situs marketplace akan selalu menjadi sasaran para peretas karena banyak menghimpun data masyarakat, terutama kartu kredit, kartu debit dan dompet digital.
“Perkuat pengamanan sistemnya, investasi lebih banyak untuk cyber security. Penggunaan enkripsi harus merata terhadap semua data yang berhubungan dengan user, jangan hanya password seperti saat ini,” tutupnya.
Terkait dengan kebocoran data pengguna Tokopedia, Yayasan Lembaga Konsumen Indonesia (YLKI) mempertanyakan keandalan sistem IT Tokopedia. Tidak hanya itu, dia juga mempertanyakan apakah sistem perlindungan data pribadi di Tokopedia digaransi oleh pihak ketiga atau tidak.
“YLKI menduga sistem IT di Tokopedia tidak cukup andal sehingga gampang diretas oleh pihak lain. Oleh karena itu, YLKI mendesak pihak Tokopedia untuk memberikan klarifikasi kepada publik terkait sistem atau teknologi yang dipakai dalam perlindungan data pribadi,” ujar Ketua Pengurus Harian YLKI, Tulus Abadi, saat dihubungi Antara di Jakarta, Minggu (3/5/2020).
Selain itu, YLKI mempertanyakan berapa lapis sistem keamanan yang digunakan Tokopedia dalam melindungi data pribadi pengguna. “YLKI juga meminta pemerintah untuk turun tangan dalam kasus peretasan sistem IT di Tokopedia, guna memberikan perlindungan dan rasa aman konsumen,” ujarnya. (net/lin)
