Cyberthreat.id - Pakar IT dari Vaksincom Alfons Tanujaya mengingatkan kasus kebocoran data Tokopedia bisa mendatangkan phishing massal jika tidak diantisipasi dengan baik. Menurut dia, terdapat tiga jenis data sekunder yang bocor di kasus Mega Breach Tokopedia yakni nomor ponsel, email, dan tanggal lahir. Sedangkan data password dilindungi dengan hash sekaligus dilengkapi perlindungan 2FA.

"Nah, data (sekunder) itu bisa dimanfaatkan untuk phishing dan bisa saja bentuknya phishing massal," kata Alfons kepada Cyberthreat.id, Senin (4 Mei 2020).

Mega breach adalah istilah untuk kebocoran data yang jumlahnya lebih dari 1 juta, sementara kebocoran data Tokopedia mencapai 91 juta. Ambil saja 10 persen jadi target phishing, tentu saja sudah merepotkan bagi Indonesia yang sedang berupaya mengembangkan ekonomi digital dan membangun trust (kepercayaan).

Alfons mencontohkan seorang penjahat yang berencana bikin phishing SMS dengan menggunakan nama Tokopedia. Misalnya, "Rejeki Ramadhan. Akun Tokopedia anda mendapatkan voucher 1 juta. Silakan klik link ini untuk voucher anda".

Modus seperti ini sudah banyak pelaku kejahatan siber yang melakukan, tetapi momentum kebocoran data adalah peluang emas bagi hacker mencuri data.

"Ketika kita klik link phishing Tokopedia tadi, maka masuklah username dan password. Kalau user tertipu dan masukin username - password, maka itu salahnya user kan," kata dia.

Untuk target phishing, Alfons menduga bisa saja si penjahat alias "phisher" menggunakan database Tokopedia yang bocor dan tersedia di forum hacker. Atau, bisa jadi ditembakkan random ke semua orang sehingga korban yang tidak terdampak kebocoran data Tokopedia juga bisa kena.

"Jadi, ini masalah hukumnya bisa panjang. Saya berharap Indonesia bisa benar-benar belajar dari kasus sebelumnya."

Terkait kelalaian Tokopedia yang mengakibatkan database-nya bocor lalu terjadinya data breach, Alfons sepakat Tokopedia bersalah sebagai data collector dan data processor, tetapi kesalahan dan kebocoran data yang dimaksud juga harus lebih rinci.

"Kalau mau bicara tanggung jawab, maka secara umum, misalnya, data kependudukan Indonesia juga bocor. Nah yang tanggung jawab siapa? Ya pemerintah kan," ujarnya.

Menurut Alfons, jika kebocoran data Tokopedia seperti password yang di hash bisa dipecahkan, lalu bisa dipakai penjahat siber untuk transaksi, maka Tokopedia wajib mengganti rugi.

"Kalau memang pengelolaan database-nya jelek memang pengelola harus bertanggung jawab, tapi kalau misalnya kecerobohan user. Misal ada keylogger di komputer seseorang atau secara gak sengaja ngasih data ke penjahat ya memang salah user dong. Kita tanpa sadar sering kasih password sama orang, ya itu salah sendiri."