Cyberthreat.id – Apa kabar investigasi dugaan kebocoran 1,2 juta data pengguna toko online Bhinneka.com?

Astrid Warsito, Group Head Corporate Communications Bhinneka.com mengatakan, hasil investigasi bersama Kementerian Komunikasi dan Informatika sudah selesai pada April 2021.

"Tentang investigasi dugaan kebocoran data bersama Kemkominfo sudah mencapai kesimpulan dan ditutup bulan lalu," kata Astrid kepada Cyberthreat.id, Jumat (7 Mei 2021).

Dia menjelaskan bahwa Bhinneka.com telah diperintahkan oleh Kominfo untuk menjalankan rekomendasi-rekomendasi akhir dan diperintahkan untuk memberitahu kepada penggunanya terkait keamanan data pengguna.

Sayangnya, Astrid tidak secara eksplisit memberitahu bahwa apakah dari hasil investigasi memang data itu benar milik Bhinneka.com atau tidak.

Saat ditanya lebih lanjut, apakah dengan menerima sejumlah rekomendasi itu, Bhinneka.com mendapat sanksi surat teguran tertulis, seperti halnya Tokopedia dengan kebocoran datanya, Astrid tidak menjawabnya.

"Bhinneka.com dan didampingi pihak yang berwenang memastikan melakukan SOP yang ketat demi menjaga keamanan dan kelangsungan industri," ujar dia. (Baca: Kominfo Pastikan Investigasi Kebocoran Data Pengguna Tokopedia Rampung, Apa Sanksinya?)

Astrid mengatakan perusahaan melindungi data yang dimiliki sehingga akses ilegal yang terjadi terhadap data pengguna sangat kecil.

Selain itu, menurut dia, Bhinneka.com tidak menyimpan data-data sensitif terkait transaksi dan data pembayaran.

"Password pelanggan di database selalu dienkripsi, tidak ada penyimpanan data kartu kredit atau debit, maupun uang elektronik dan digital goods lainnya. Data pembayaran langsung terkoneksi dengan payment gateway," kata Astrid.

Langkah-langkah yang diambil Bhinneka.com untuk meningkatkan keamanan, kata Astrid, yakni mengadopsi standar ISO 27001 tentang Information Security Management System dan juga melakukan tes penetrasi secara berkala.

"Termasuk menunjuk tim konsultan siber untuk keamanan data," katanya.

Bhinneka.com pun menyarankan kepada pengguna untuk meningkatkan kewaspadaan keamanan digital dengan mengganti kata sandinya secara berkala, menggunakan email terpisah, dan tidak membagikan informasi kepada pihak lain.

"Apabila memerlukan informasi lebih lanjut, atau penghapusan akun Bhinneka.Com, bisa menghubungi 021-29292828," kata Astrid.

Pada Mei 2020, basis data 1,2 juta pengguna Bhinneka.com dibocorkan oleh peretas bernama ShinyHunters yang juga membocorkan data 91 juta data pemilik akun Tokopedia.

Data pengguna Bhinneka.com saat itu ditawarkan bersamaan dengan data pengguna sembilan perusahaan lain. Setiap basis data dijual terpisah. Data 1,2 juta pengguna Bhinneka.com dijual seharga US$ 1.200 atau setara Rp18 juta. (Baca: Setelah Tokopedia Giliran 12 Juta Data Pengguna Bhinneka Dijual di Dark Web)

Tidak diketahui pasti saat itu data apa saja yang diperdagangkan oleh ShinyHunters.

Namun,  Pakar Teknologi Informasi dari PT Vaksincom, Alfons Tanujaya, menemukan bahwa Bhinneka.com belum menerapkan otentikasi dua langkah (2FA) yang dapat membahayakan akun pengguna dengan kebocoran data itu.

Alfons pun menyarankan pelanggan Bhinneka.com untuk segera mengganti kata sandi lantaran platform belum menerapkan 2FA.

Verifikasi dua langkah adalah lapisan proteksi tambahan untuk keamanan ganda akun online selain mengandalkan nama pengguna dan kata sandi. Biasanya kode 2FA dikirim melalui SMS atau kode yang dihasilkan dari aplikasi otentikator.

Andaikata pelanggan tidak mengganti kata sandi, kata Alfons, hal itu sangat rentan akun pelanggan diambil alih penjahat siber. Peretas akan mudah membobol login pelanggan dengan berbekal basis data pelanggan Bhinneka.com yang bocor.[] (Baca: Peretasan Bhinneka.com: Pakar TI Platform Belum Terapkan 2FA)

Redaktur: Andi Nugroho