Cyberthreat.id - Data 91 juta pengguna Tokopedia yang berhasil dibobol hacker dan dijual di pasar gelap internet (dark web) seharga US$ 5.000 sebagian sudah berhasil dibuka enkripsi paswordnya (dehashed). Data ini kemudian dijual lagi di dark web dengan harga US$ 8.000.

Melansir bleepingcomputer.com, perkembangan terbaru itu disampaikan oleh perusahaan keamanan siber Cyble.

Sedangkan menurut Under the Breach, para pelaku ada yang mulai membagikan lebih dari 200 ribu akun berikut kata sandi (pasword) yang berhasil dibuka.

Seperti diketahui, peretas awalnya menawarkan 15 juta akun pengguna Tokopedia setelah tidak berhasil membuka pasword-nya karena dilindungi enkripsi. Belakangan, muncul lagi penawaran dengan jumlah data yang lebih besar: 91 juta data pengguna Tokopedia.

Data terekspos yang paling serius terdiri dari alamat email pengguna, nama lengkap, tanggal lahir, dan kata sandi pengguna yang di-hash. Beberapa akun yang terpapar juga memiliki Nomor Direktori Pelanggan Internasional Mobile Station (MSISDN) perangkat seluler mereka.

Cyble percaya database telah beredar secara pribadi sejak April, dan sekarang karena sudah dibocorkan secara publik, aktor ancaman memutuskan untuk menjual daftar akun yang telah di-dehashed sebelum orang lain merilisnya.

BleepingComputer belum dapat mengkonfirmasi secara independen apakah ini adalah akun yang di-dehashed secara sah atau jika aktor ancaman mencoba untuk melakukan penipuan pengambilan uang.

Cyble telah menyatakan bahwa mereka memperoleh basis data Tokopedia dan pengguna dapat memeriksa apakah akun mereka telah diekspos melalui platform pemantauan pelanggaran data Cyble amibreached.com.

Cyble menyarankan semua pengguna Tokopedia harus berasumsi bahwa meskipun sekarang pasword mereka belum bisa dibuka, kemungkinan akan tersedia di masa mendatang. Itu sebabnya, pengguna Tokopedia disarankan segera mengganti password yang hanya digunakan untuk situs itu saja.

Jika sebelumnya pengguna Tokopedia menggunakan pasword yang sama di platform digital lain, maka harus segera diubah untuk menghindari pembobolan akun.

Wakil Presiden Corporate Communications Tokopedia, Nuraini Razak mengatakan bahwa mereka sedang melakukan penyelidikan untuk melakukan kebocoran data dan meningkatkan keamanan sistem mereka.

Dalam notifikasi yang dikirimkan ke penggunanya, Tokopedia mengatakan,"Kami sudah memastikan, bahwa tidak ada kebocoran password yang dapat digunakan untuk login ke akun Anda."

Nyatanya, kini ada yang sudah berhasil membuka pasword itu.

Seperti apa wujudnya? Pantauan cyberthreat.id, seorang pengguna Twitter pemilik akun @ThePandhitas memamerkan pasword yang telah berhasil dibobol.

Pemilik akun dengan nama Bung Nabung itu mengatakan kata kunci yang berhasil dibuka itu versi yang dilindungi dengan MD5. Sebagian lainnya dilindungi dengan alogaritma hashing SHA2-384.

MD5 adalah versi lama dari alogaritma kriptografi. MD5 singkatan dari Message-Digest algorithm 5. Pada MD5, kata kunci masih bisa menggunakan 4 huruf.

Didesain oleh Ronald Rivest pada tahun 1991, pada 1996 ditemukan cacat dalam desainnya sehingga mulai ditinggalkan dan digantikan dengan alogaritma baru seperti SHA-1 dan versi terbarunya. Saat ini, di pasaran juga tersedia aplikasi untuk membuka enkripsi MD5 yang disebut "MD5 Hash Generator."

Diperkirakan, pasword yang dilindungi dengan MD5 itu adalah data pengguna lama Tokopedia sebelum alogaritma hashing diganti ke SHA2-384.

Sampel pasword pengguna Tokopedia yang berhasil dibuka enkripsinya. | Twitter @ThePandhitas

"Maksud saya melakukan dehash ini adalah untuk meningkatkan concern masyarakat atas keamanan data pribadi dan meningkatkan password strength. Dan juga agar Tokopedia dapat meningkatkan hashing algorithmnya baik itu yg lama/baru. Data yang saya publis saya sensor demi keamanan bersama," tulis @thePandhitas seraya melampirkan bukti pasword yang berhasil dibuka.

Tak semua berhasil terbaca paswordnya. Ada yang bisa dibuka, ada yang tidak.

"Yang gak ada passwordnya berarti gagal dehash atau keskip pada saat dehashing process," tulis Bung Nabung.[]