IND | ENG
Soal Kebocoran Data Tokopedia, ELSAM: Kok Belum Ada Notifikasi kepada Konsumen?

Deputi Direktur Riset ELSAM Wahyudi Djafar. | Foto: Cyberthreat.id/Faisal Hafis

Soal Kebocoran Data Tokopedia, ELSAM: Kok Belum Ada Notifikasi kepada Konsumen?
Oktarina Paramitha Sandy Diposting : Minggu, 03 Mei 2020 - 18:35 WIB

Jakarta, Cyberthreat.id – Lembaga Studi dan Advokasi Masyarakat (ELSAM) mendesak agar Tokopedia segera memberitahukan kepada pengguna yang terkena dampak kebocoran data.

Hingga kini, raksasa perusahaan pasar daring Indonesia itu belum juga memberikan notifikasi tertulis kepada para konsumennya sebagai pemilik data pribadi.

ELSAM dalam pernyataan persnya yang diterima Cyberthreat.id, Minggu (3 Mei 2020), notifikasi harusnya dikirimkan secara tertulis sesuai dengan ketentuan Pasal 14 Ayat 5 Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE).

Dalam regulasi itu disebutkan kewajiban Penyelenggara Sistem Elektronik (PSE) memberikan pemberitahuan tertulis kepada pemilik data pribadi.

Jika mengacu pada Pasal 28 Peraturan Menteri Kominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik, pemberitahuan tertulis dapat dilakukan paling lambat 14 hari sejak terjadinya insiden.

Secara prinsip perlindungan data pribadi, Deputi Direktur Riset ELSAM Wahyudi Djafar mengatakan, seharusnya notifikasi tanpa penundaan (without undue delay). Prinsip inilah yang diadopsi dalam Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP), di mana notifikasi kelak hanya dalam waktu 3x24 jam.

“Ini menjadi  salah satu bentuk prinsip akuntabilitas dari penyelenggaraan pemrosesan data pribadi,” ujar Wahyudi.

Wahyudi juga mengatakan, sesuai dengan Pasal 24 Ayat 3 PP PSTE jika terjadi kegagalan pelindungan data pribadi yang memiliki dampak serius, PSE wajib mengamankan informasi elektronik dan/atau dokumen elektronik.

“Dan, segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan kementerian atau lembaga terkait dengan tujuan meminimalisasi risiko terjadinya kebocoran data bagi pengguna,” ujar Wahyudi.

Yang perlu diberitahukan

Jika terjadi kebocoran data pribadi, menurut Wahyudi, seharusnya PSE sebagai pengendali data harus memberikan pemberitahuan kepada pemilik data.

Sejumlah informasi yang perlu disampaikan kepada konsumen, antara lain:

  • kategorisasi data pribadi apa saja yang bocor
  • jumlah subjek data yang terdampak
  • informasi kontak petugas perlindungan data pribadi yang dapat dihubungi
  • konsekuensi yang mungkin terjadi sebagai dampak dari kebocoran
  • langkah-langkah yang telah diambil oleh pengendali data untuk mengatasi kebocoran (termasuk mitigasi kejadian serupa di masa mendatang).

Sebelumnya, Under the Breach adalah perusahaan keamanan siber asal Israel yang pertama kali menjumpai peretas (hacker) membagikan basis data pengguna Tokopedia di forum darknet: RaidForums.

Unggahan pertama di darknet, menurut Under the Breach di akun Twitter-nya, Sabtu (2 Mei 2020), peretas mengklaim telah memiliki basis data 15 juta pengguna. Namun, saat data itu berstatus dijual, mereka mengklaim memiliki total 91 juta basis data pengguna.

Untuk sistem pembayaran, peretas memilih dengan sistem rekening escrow atau melalui perantara pihak ketiga. Seperti tertera di gambar di bawah ini:

Foto: Under the Breach

Awalnya dalam unggahan di darknet, peretas yang belum diketahui identitasnya ini memutuskan untuk berbagi data yang diretas pada Maret 2020. Ia sengaja menawarkan data itu karena ingin minta bantuan dari peretas lain yang bisa membuka alogaritma hashing SHA2-384.

Needed to crack the hashes,” tulis dia.

Peretas mengklaim basis data yang dimiliki itu berisi email, kata sandi yang di-hash nama pengguna, dan lain-lain. Siapa pun yang tertarik dengan data itu, peretas meminta untuk mengontaknya melalui alamat email: whysodank@jabber.ua.

Menanggapi kejadian itu, Tokopedia menyatakan, telah mengetahui dan sedang menyelidiki kasusnya.

“Berkaitan dengan isu yang beredar, kami menemukan adanya upaya pencurian data terhadap pengguna Tokopedia, namun Tokopedia memastikan, informasi penting pengguna, seperti password, tetap berhasil terlindungi," ujar VP of Corporate Communications Tokopedia, Nuraini Razak, dalam keterangan tertulisnya, Sabtu (2 Mei 2020).

Tokopedia menyebut kata sandi terlindungi, tapi dalam tangkapan layar yang dibagikan oleh Under the Breach terlihat jelas alamat email dan nomor telepon pemilik data. Seperti gambar berikut:

"Saat ini, kami terus melakukan investigasi dan belum ada informasi lebih lanjut yang dapat kami sampaikan,” tutur Nuraini.

Nuraini menyarankan pengguna Tokopedia mengganti kata sandi akun secara berkala demi keamanan dan kenyamanan.

Pada hari ini, Tokopedia juga telah memberikan notifikasi kepada pengguna melalui email juga melalui aplikasi seperti berikut:

Artikel ini telah mengalami pembaruan, terutama di bagian akhir paragraf terkait dengan notifikasi dari Tokopedia tentang isu kebocoran data penggunanya. []

Redaktur: Andi Nugroho

#tokopedia   #databreach   #hacker   #databocor   #perlindungandatapribadi   #peretasan   #kejahatansiber   #cyberthreat   #cyberattack   #cyberrisk   #ancamansiber   #serangansiber   #elsam   #wahyudidjafar

Share:




BACA JUGA
Microsoft Ungkap Aktivitas Peretas Rusia Midnight Blizzard
Senin, 11 Maret 2024 - 13:07 WIB
Hacker China Targetkan Tibet dengan Rantai Pasokan, Serangan Watering-Hole
Minggu, 10 Maret 2024 - 12:06 WIB
BSSN Selenggarakan Workshop Tanggap Insiden Siber Sektor Keuangan, Perdagangan dan Pariwisata
Minggu, 25 Februari 2024 - 08:05 WIB
Penjahat Siber Persenjatai Alat SSH-Snake Sumber Terbuka untuk Serangan Jaringan
Jumat, 23 Februari 2024 - 16:08 WIB
Peretas China Beroperasi Tanpa Terdeteksi di Infrastruktur Kritis AS selama Setengah Dekade
Kamis, 08 Februari 2024 - 21:59 WIB