Cyberthreat.id - Para pengguna Tokopedia hari ini, Selasa (12 Mei 2020), menerima surat dari pendiri dan CEO Tokopedia, William Tanuwijaya. Dalam surat yang dikirim ke email pelanggan itu, William bicara soal pembobolan data pengguna yang disimpan di pusat data mereka.

Dalam surat itu, William mengatakan pada 2 Mei 2020 pihaknya "menyadari adanya pencurian data oleh pihak ketiga yang tidak berwenang terkait informasi pengguna Tokopedia."

Catatan Cyberthreat.id, ini adalah pertama kalinya Tokopedia secara eksplisit mengakui adanya pencurian data. Sebelumnya,  dalam email yang dikirimkan ke pelanggan pada 2 Mei lalu setelah kabar peretasan data muncul di media massa,Tokopedia mengatakan,"Sehubungan dengan beredarnya informasi kebocoran data akun Tokopedia, Tokopedia saat ini tengah melakukan investigasi mendalam mengenai hal ini."

Dalam surat terbaru, William mengatakan selama 11 tahun beroperasi Tokopedia telah dipercaya oleh lebih dari 90 juta masyarakat Indonesia.

Data 2018 menyebutkan jumlah penduduk Indonesia sebanyak 267,7 juta jiwa. Artinya, 90 juta pengguna Tokopedia itu adalah sepertiga atau 33,6 persen dari jumlah penduduk Indonesia.

Sayangnya, meski mengakui data 90 juta penggunanya telah dicuri, William tidak mengungkapkan secara terang benderang data apa saja yang telah dicuri oleh peretas yang menyusup ke database mereka. Padahal, setiap data yang dicuri dapat digunakan oleh peretas atau oleh orang yang membeli data itu untuk berbagai tindak kejahatan dunia maya.

Dalam surat itu, meski pun yang bobol adalah sistem keamanan database Tokopedia, William mengajak "Seluruh pengguna Tokopedia mengikuti anjuran langkah pengamanan agar semua tetap terlindungi, seperti memastikan bahwa Anda selalu mengganti kata sandi akun Tokopedia secara berkala, tidak menggunakan kata sandi yang sama di berbagai platform digital, dan menjaga OTP dengan tidak memberikan kode OTP tersebut kepada pihak manapun termasuk yang mengatasnamakan Tokopedia dan untuk alasan apapun."

Berikut adalah bunyi lengkap surat CEO Tokopedia itu.

Kepada semua pengguna Tokopedia yang saya hormati,

Bisnis Tokopedia adalah bisnis kepercayaan. Sebagai perusahaan teknologi dengan platform marketplace terbesar di Indonesia, Tokopedia telah dipercaya oleh lebih dari 90 juta masyarakat Indonesia. Kepercayaan ini adalah sebuah amanah dan tanggung jawab yang selalu kami pegang teguh. Selama 11 tahun Tokopedia melayani masyarakat Indonesia, kami selalu memberi perhatian lebih kepada sistem keamanan kami. Kami terus membangun, mengembangkan, dan meningkatkan prosedur serta sistem antisipasi dan mitigasi kami, sesuai dengan standar terbaik dunia.

Pada tanggal 2 Mei 2020, kami menyadari adanya pencurian data oleh pihak ketiga yang tidak berwenang terkait informasi pengguna Tokopedia. Selain pemberitahuan yang telah kami informasikan sebelumnya, kami ingin memberikan informasi terbaru terkait langkah-langkah yang telah kami ambil hingga saat ini untuk mengatasi kejadian tersebut.

Pertama, setelah mengetahui kejadian ini, kami langsung memberikan informasi kepada seluruh pengguna Tokopedia, memulai proses investigasi dan mengambil langkah-langkah yang perlu dilakukan untuk memastikan akun dan transaksi tetap terjaga. Kami terus pastikan bahwa kata sandi telah dienkripsi dengan enkripsi satu arah.

Kedua, kami telah berkomunikasi dan bekerja sama dengan pemerintah, antara lain Kementerian Komunikasi dan Informatika serta Badan Siber dan Sandi Negara untuk melakukan investigasi atas kejadian ini sekaligus memastikan keamanan dan perlindungan atas data pribadi Anda.

Ketiga, selain melakukan investigasi internal dengan teliti, kami juga telah menunjuk institusi independen kelas dunia yang memiliki spesialisasi di bidang keamanan siber dalam membantu investigasi dan identifikasi langkah-langkah yang diperlukan guna lebih meningkatkan lagi perlindungan data para pengguna Tokopedia.

Pengguna kami adalah prioritas utama. Maka dari itu, sebagai langkah pencegahan tambahan, kami senantiasa mengajak seluruh pengguna Tokopedia mengikuti anjuran langkah pengamanan agar semua tetap terlindungi, seperti memastikan bahwa Anda selalu mengganti kata sandi akun Tokopedia secara berkala, tidak menggunakan kata sandi yang sama di berbagai platform digital, dan menjaga OTP dengan tidak memberikan kode OTP tersebut kepada pihak manapun termasuk yang mengatasnamakan Tokopedia dan untuk alasan apapun.

Kami memahami bahwa kejadian ini telah menimbulkan ketidaknyamanan pada seluruh pengguna. Maka dari itu, kami ingin mengucapkan terima kasih yang sebesar-besarnya kepada seluruh pengguna Tokopedia atas dukungan Anda yang tiada henti kepada kami di tengah tantangan kali ini.

Salam,
William Tanuwijaya
Founder & CEO Tokopedia

***

Sebelumnya, Komunitas Konsumen Indonesia (KKI) menggugat Menteri Komunikasi dan Informatika RI dan PT Tokopedia. Gugatan didaftarkan secara e-court (online) di Pengadilan Negeri Jakarta Pusat No. Pendaftaran Online: PN JKT.PST-0520201XD tertanggal 06 Mei 2020.

"Gugatan diajukan sehubungan dengan terjadinya kesalahan dari Tokopedia selaku penyelenggara siste elektronik dalam penyimpanan dan melindungi kerahasiaan data pribadi dan hak privasi akun para pengguna situs belanja online Tokopedia.com yang telah diperjualbelikan di internet," kata Ketua KKI David Tobing.

Menurut David, gugatan diajukan setelah pihaknya menerima sejumlah pengaduan terkait penguasaan data pribadi pemilik akun Tokopedia oleh pihak lain tanpa persetujuan pemilik akun. Data pribadi itu, kata David, antara lain berupa user id email, tanggal lahir, jenis kelamin, dan nomor telepon.

"Pengaduan disampaikan karena pemilik akun mengalami kekhawatiran akan terjadinya tindakan yang dilakukan secara melaan hukum dan menimbulkan kerugian di kemudian hari," tambah David.

Menurut David, dalam sistem peraturan perundang-undangan di Indonesia data pribadi didefinisikan sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.

Hal itu diatur dalam Pasal 1 angka 22 UU No. 24 Tahun 2013 tentang Perubahan UU No. 23 Tahun 2006 tentang Adiministrasi Kependudukan jo. Pasal 1 angka 20 PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik jo. Pasal 1 angka 1 PM Kominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

David menambahkan untuk menjaga kerahasiaan dan melindungi data pribadi serta privasi warga negara yang melakukan transaksi elektronik, negara mewajibkan kepada setiap pihak yang memperoleh data pribadi, termasuk namun tidak terbatas pada Tokopedia bertindak sebagai pengemban amanat dalam menyimpan dan menguasai data pribadi seseorang.

“Tokopedia tidak beritikad baik dalam menyelenggarakan sistem elektronik karena tidak pernah memberitahukan secara tertulis terjadinya penguasaan data pribadi pemilik akun Tokopedia oleh pihak ketiga secara melawan hukum,” kata David.

David mengatakan, hingga gugatan diajukan, pihak Tokopedia tidak pernah memberikan pemberitahuan dalam bentuk apapun terkait rincian data yang telah dicuri dan telah dikuasai oleh oleh pihak ketiga secara melawan hukum.

David menduga Tokopedia berusaha menyembunyikan fakta yang sebenarnya yang terjadi dengan hanya menyampaikan adanya upaya pencurian data dan memastikan beberapa data masih aman, namun tidak menyampaikan fakta yang sebenarnya bahwa sebagian data telah bocor dan tidak pula memberitahukan rincian data yang telah dikuasai oleh pihak ketiga tanpa persetujuan para pemilik data pribadi dan/atau secara melawan hukum.

Itu sebabnya, David meyakini Tokopedia telah melanggar kewajiban hukumnya dan tidak beritikad baik untuk memberitahukan tentang kegagalannya melindungi data pribadi 90 juta pemilik akun Tokopedia.[]