Cyberthreat.id - Pakar keamanan siber Pratama Persadha memperingatkan masyarakat terkait kebocoran data yang dialami Tokopedia bisa menjalar ke akun lain jika menggunakan email dan password yang sama. Pengguna disarankan mengganti password dan menggunakan kode OTP (one time password) lewat SMS. Lalu, mengganti semua password dari akun medsos dan platform marketplace selain Tokopedia.

"Terutama bagi admin akun medsos pemerintah dan lembaga harus cepat melakukan pengamanan akun sebagai langkah antisipasi," kata Pratama dalam siaran pers, Minggu (3 Mei 2020).

Pratama mengatakan, saat mendapatkan sampel data dari forum, ia belum menemukan data kartu kredit maupun debet yang disebar pelaku. Harapannya, kata dia, data-data kartu kredit tidak ikut menjadi salah satu yang berhasil diretas.

Hacker Whysodank pertama kali mempublikasikan hasil peretasan di RaidForum, Sabtu (2 Mei 2020). Kemudian hacker ShinyHunters memposting thread penjualan 91 juta akun Tokopedia di forum darkweb bernama EmpireMarket. Dari sinilah akun Twitter @underthebreach kemudian mempublikasikan peretasan Tokopedia ke publik Twitter.

"Pihak Tokopedia harus bertanggungjawab atas kejadian ini karena data penggunanya diambil dan diperjualbelikan," ujar Pratama yang merupakan Chairman Lembaga Riset SIber Indonesia CISSReC (Communication & Information System Security Research Center).

Selain itu, Tokopedia memiliki kewajiban secara berulang-ulang, dengan menggunakan segala sarana media yang ada, mensosialisasikan apa saja yang harus dilakukan oleh para penggunanya. Misalnya memberitahukan ganti password akun dan mengaktifkan OTP.

"Sampai semua penggunanya menyadari kebocoran ini dan mau mengganti password-nya," ujar dia.

Kronologis Informasi Kebocoran Data

Tokopedia dilaporkan mengalami peretasan seperti dalam cuitan akun twitter @underthebreach pada Sabtu (2 Mei 2029). Jumlah akun yang bocor mencapai 91 juta ditambah 7 juta akun merchant. Di tahun 2019, Tokopedia pernah menginfokan terdapat sekitar 91 juta akun aktif di platformnya.

Artinya, hampir semua akun di Tokopedia berhasil diambil datanya oleh peretas.

Pelaku kemudian menjual data di Dark Web berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone dan password yang masih ter-hash atau tersandi. Semua dijual dengan harga US$ 5.000 (Rp 74 juta). Bahkan ada 14.999.896 akun Tokopedia yang datanya saat ini bisa didownload.

Menurut Pratama, data untuk password masih dienkripsi, tetapi persoalan itu hanya tinggal menunggu waktu sampai ada pihak yang bisa membuka. Itu sebabnya pelaku kemudian melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara, siapa yang berhasil membuka kode acak pada password.

Meskipun password masih dalam bentuk acak, namun data lain sudah plain alias terbuka. Semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet. Misalnya mengirimkan link phishing maupun upaya social engineering lainnya sehingga Tokopedia harus melakukan update dan informasi kepada seluruh penggunanya segera.

“Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya yang akan dilakukan adalah take over (mengambil alih) akun. Lalu pelaku secara random akan mencoba melakukan take over akun medsos dan marketplace lainnya, karena ada kebiasaan penggunaan password yang sama untuk semua platform," kata Pratama.

Kejadian ini bukan yang pertama kali di Indonesia. Sebelumnya, Bukalapak juga mengalami hal serupa. Ini menjadi peringatan keras pada setiap penyedia layanan di internet yang mengolah banyak data masyarakat dalam kegiatannya.

Penetration test harus sesering mungkin dilakukan untuk mengetahui dimana saja letak celah keamanan. Situs marketplace akan selalu menjadi sasaran para peretas karena banyak menghimpun data masyarakat, terutama kartu kredit, kartu debit, dan dompet digital.

"Perkuat pengamanan sistemnya, investasi lebih banyak untuk cyber security. Penggunaan enkripsi harus merata terhadap semua data yang berhubungan dengan user, jangan hanya password seperti saat ini."