Cyberthreat.id – Dhonal Simanjuntak, pemilik akun Grenpeel Store di Tokopedia, masih berharap uangnya bisa kembali. Ia tak mau membawa kasus ini ke polisi karena alasan yang dirasanya bisa bertambah ribet.

Ia meminta Tokopedia membantu dirinya bagaimana menyelesaikan masalah raibnya uang Rp 118 juta yang ditransfer ke rekening Bank BNI atas nama Yopi Chandra.

“Sebenarnya dari saya inginnya lebih ke mediasi, gitu. Tokopedia kan sebagai platform dan saya sebagai merchant (penjual), kalau bisa untuk kasus ini diselesaikan dengan baik,” kata Dhonal saat dihubungi Cyberthreat.id, Selasa (26 November 2019) di Jakarta.

Pada 20 November lalu, akun Grenpeel Store di Tokopedia diambil alih penjahat siber berawal dari akun layanan WhatsApp Grenpeel Store yang keluar (log-out) dengan sendirinya. Nomor telepon yang dipakai WhatsApp tersebut ternyata juga dipakai untuk konfirmasi OTP pada akun Tokopedia.

Sejauh ini belum ada konfirmasi apakah kode OTP Tokopedia tersebut dikirim melalui WhatsApp atau tidak. Namun, dalam tanggapannya terpisah, Tokopedia menyatakan kejadian itu akibat penyalahgunaan akses OTP (one-time password) di aplikasi pihak ketiga.

Tokopedia hingga kini belum membalas ketika ditanya terkait aplikasi pihak ketiga itu: WhatsApp atau bukan. Ketika Cyberthreat.id mencoba masuk Tokopedia melalui aplikasi seluler, kode OTP memang bisa dilakukan via WhatsApp. Sementara, jika melalui situs web yang diakses dengan laptop atau komputer desktop, kode OTP via WhatsApp tidak tersedia.

Anehnya, Grenpeel Store yang biasa mendapat kiriman kode OTP dalam bahasa Indonesia dan Inggris, kali ini berasal dari bahasa Italia. Kode OTP dikirim melalui SMS.

---

Berita Terkait:

• Bobol Pelapak Tokopedia, Penjahat Siber Rampok Rp 118 Juta
• Grenpeel Store Dirampok Rp 118 Juta, Ini Tanggapan Tokopedia
• Tokopedia Investasi Data untuk 10 Tahun ke Depan

---

“Seumur umur biasa kalo request OTP paling bahasa Indonesia dan bahasa Inggris, ini kenapa ada bahasa asing aneh begini, saya langsung feeling ga enak,” tulis Grenpeel Store di Kaskus, forum komunitas internet terbesar di Indonesia

“Saya panik bukan main, ini kenapa ada OTP code masuk ke HP saya, padahal saya ga request...”

Ada penjahat siber yang meretas dan mengambil alih akun Tokopedia Grenpeel Store melalui metode OTP. Ketika Grenpeel Store akhirnya bisa masuk kembali ke akun Tokopedia, saldo toko telah berkurang Rp 118 juta dalam dua kali transaksi ke rekening Yopi Chandra (Bank BNI – 0882581353).

Namun, Tokopedia menyatakan, bahwa kejadian itu adalah kesalahan pelapak. Padahal, Grenpeel Store menyatakan, tak pernah sekalipun meminta kode OTP apalagi membagikan kepada orang lain. “Ane udah jelasin berkali-kali...” tutur Grenpeel Store.

“Mereka [Tokopedia] hanya bilang laporan akan diproses dan menganggap itu adalah kesalahan ane,” Grenpeel Store menjelaskan.

Berikut petikan wawancara Cyberthreat.id dengan Dhonal Simanjuntak:

Ada rencana melaporkan Tokopedia ke Polisi?

Sebenarnya dari saya inginnya lebih ke mediasi, gitu. Tokopedia kan sebagai platform dan saya sebagai merchant, kalau bisa untuk kasus ini diselesaikan dengan baik.

Ini bagaimana dan solusinya apa? Jika ada kesalahan dari kami indikasi dari kami apa?

Apakah ini kejadian pertama kali?

Iya ini pertama kali.

Bagaimana di akun Anda di Bukalapak?

Jangan sampai deh...

Tanggapan dari Tokopedia?

Setelah berita muncul di Kumparan –media daring kumparan.com—tadi pagi (Selasa pagi) ada email masuk dari Tokopedia Care. Saya diminta untuk lanjutkan laporan ke polisi.

Sebetulnya saya sudah membuat laporan pada tanggal 20 November ke polisi. Laporan itu menitikberatkan kepada rekening atas nama Yopi Chandra di Bank BNI supaya di-hold, di-suspend dulu.

Laporan itu bentuknya bahwa rekening atas nama Yopi Chandra ada indikasi sebagai rekening pelaku pencurian. Lebih ke arah ke sana. Jadi, bukan saya melaporkan Tokopedia melanggar.

Dhonald menceritakan, ketika melaporkan ke Tokopedia Care dirinya bertemu dengan bagian costumer service. Ia sebetulnya ingin Tokopedia segera melakukan tindakan, tetapi justru CS Tokopedia Care masih menanyakan kronologi kejadian.

(Padahal) Urgensi kami adalah minta kasus uang saya di-hack itu segera di-suspend. Saya akan jelasin semua kronologis setelah (dana) diblokir dulu, dana di-hold.

Tokopedia masih menanyakan saya apakah kira-kira ada admin toko yang memberikan OTP, enggak? Jadi CS itu masih investigasi saya dulu, sedangkan waktu bergulir. Faktanya, memang orang saya tidak ada yang memberikan OTP.

(Ia merasa proses selama pelaporan kepada CS Tokopedia Care hanya membuang-buang waktu, sedangkan waktu terus berjalan hingga uang itu akan ditransfer ke rekening penjahat tadi.)

---

---

Saat melaporkan ke polisi bagaimana?

Saya laporkan bahwa akun Tokopedia saya di-hack, saya butuh laporan perkara ini untuk meyakinkan pihak bank, bahwa  ini betul-betul ada ada indikasi pencurian. Untungnya polisi bisa.

Jadi, laporan itu (isinya meminta, red) untuk rekening tersebut untuk di-hold, tapi untuk menindaklanjuti naik berkas pelaporan ke Tokopedia harus ada bukti-bukti. Saya hanya memberikan bukti-bukti yang saya pegang.

Tanggapan polisi saat itu?

Kami diminta untuk menyiapkan berkas, melaporkan juga kejadian itu ke Tokopedia selaku penyedia plaftorm terkait. Karena urgensi saya saat itu ingin dana saya bisa kembali atau enggak.

Sejauh ini bagaimana kebijakan keamanan Tokopedia?

Saya enggak tahu. Tapi, setelah pelaporan saya itu, beberapa hari ini sedang maintanance sepertinya. Soalnya penarikan dana sempat tidak bisa, terus terkendala, mungkin itu lagi maintanance.

Apakah Tokopedia pernah memberikan pelatihan keamanan bertransaksi?

Saya belum pernah mendapatkan. Yang pernah saya ikuti sebatas bagaimana cara menjual, bukan keamanan akun.

Ada yang ingin disampaikan khusus petugas CS Tokopedia Care?

Kalau bisa ada nomor khusus pelaporan, baik telepon, chat, atau email yang tingkat urgensinya tinggi. Kayak 911 (nomor pelaporan darurat di Amerika Serikat, red). Biar ke depan tidak ada kejadian seperti ini menimpa yang lain.

Ada pesan untuk Tokopedia?

Saya minta selaku merchant harusnya dari pihak Tokopedia bisa memberikan sosialisasi, misal, bagaimana bentuk-bentuk kejahatan siber. Kalau memang (kejadian) ini sering terjadi, bisa diinfokan (hal-hal seperti ini, red) kepada kami.

(Menurut dia, penarikan uang Rp 118 juta dalam dua kali transaksi dari saldo toko di akun Tokopedianya ke rekening Yopi Chandra juga dirasa sangat cepat sekali, hanya dalam tempo 10 menit. Padahal, biasanya penarikan itu bisa agak lama, bisa sekitar satu jam bergantung dari Tokopedia.)

Apakah pernah mendapatkan dasar-dasar keamanan berinternet?

Sejauh ini saya belum ada. Hanya, saya tahu memang metode phishing, itu kan bagaimana mereka mengirim link, lalu salah klik, secara tidak disadari, kita telah memberikan data ke pelaku. Tapi, kan metode hack enggak cuma itu saja. Kami selaku penjual, bukan pakar TI.

Saya rasa kami masih perlu dibekali informasi-informasi bagaimana berinternet yang aman, cara safety sebagai pengguna marketplace.

Ada saran ke pemerintah, terutama Kementerian Kominfo selaku pengawas platform?

Harusnya mungkin kejadian seperti ini, Kominfo dalam hal ini, harus lebih konsen lagi untuk mendeteksi apakah sistem keamanan platform itu sudah aman. Karena apabila terjadi lagi, dampaknya bisa besar loh.

Kami ini benar-benar dananya bukan kecil loh. Jadi, efek psikis (dengan kejadian ini, red) lumayanlah. Jadi, pemerintah bisa ikut serta dari sistem keamanan platform.