Cyberthreat.id - Pengadilan Negeri Jakarta Pusat dijadwalkan  menggelar sidang perdana gugatan kebocoran data Tokopedia pada hari ini, Rabu (10 Juni 2020).

Gugatan didaftarkan oleh Komunitas Konsumen Indonesia (KKI) dengan tergugat Menteri Komunikasi dan Informatika Republik Indonesia (Tergugat I) daan PT Tokopedia (Tergugat II).

Gugatan ini terdaftar di Pengadilan Negeri Jakarta Pusat dengan nomor 235/PDT.G/2020/PN.JKT.PST.

Situs Pengadilan Negeri Jakarta Pusat menyebutkan sidang digelar hari ini pukul 08.30 WIB sampai selesai di ruang Sujono.

Dalam wawancara dengan Cyberthreat.id pada 8 Mei lalu, Ketua KKI David Tobing mengatakan organisasinya kecewa dengan sikap pemerintah terkait kebocoran data pribadi pelanggan Tokopedia yang konon kabar mencapai 91 juta data pelanggan atau setara dengan seperti jumlah penduduk Indonesia.

"Kami kecewa menkominfo kok seakan-akan memfasilitasi Tokopedia, tetapi tidak melakukan tindakan investigasi yang cepat. Kalau begini kan terlalu lama," ujar David.

Menurut David, pemerintah lamban bergerak dalam menangani kebocoran data itu. Menurutnya, seharusnya Kominfo berinisiatif melaporkan pencurian data itu ke polisi.

"Kalau memang itu datanya dicuri atau kalau memang ada sesuatu yang mekanisme pengamanannya dibobol, harusnya dia lapor polisi. Polisi siber kita kan ada," ujanya.

Menurut David, pemerintah melalui Kominfo seharusnya menjalankan fungsi pengawasan sebelum kebocoran data terjadi.

"Mereka harusnya mengecek hari ke hari atau bulan ke bulan. Apakah betul sudah dijalankan SOP pengamanan data pribadi? Apa memang keamanan penyelenggara sistem elektronik (PSE) ini sesuai dengan ketentuan yang ada? Atau, malah melebihi dari best practice yang dianut oleh platform lain di seluruh dunia," ujarnya.

Selain itu, David menilai Menkominfo seakan-akan memfasilitasi Tokopedia, namun tidak melakukan tindakan investigasi dengan cepat.

Kebocoran data Tokopedia mencuat ke publik setelah diungkap oleh Under the Breach, perusahaan keamanan siber asal Israel. Temuan itu berdasarkan unggahan hacker yang membagikan basis data 15 juta pengguna Tokopedia di forum darkweb, RaidForums.

Sebelum menjual basis data 91 juta akun pengguna senilai Rp 74,3 juta, peretas awalnya meminta peretas lain untuk membantu dirinya membuka kata sandi (password) pengguna yang masih disamarkan (hash).

Dari basis data itu terlihat jelas, seperti nama pengguna, nama lengkap, email, jenis kelamin, nomor ponsel, dan lain-lain. Sejak berita itu menjadi viral di media sosial, banyak orang dari Indonesia masuk ke RaidForums untuk mengunduh basis data tersebut.

CEO Tokopedia William Tanuwijaya dalam surat elektronik yang dikirim ke email pelanggan mengakui adanya peretasan data tersebut. Namun, William tidak menyebutkan data apa saja yang bocor.

Menurut David Tobing, apa yang disampaikan CEO Tokopedia justru membuktikan telah terjadi kegagalan perlindungan data pribadi dan “sudah sepatutnya seluruh sistem penyelenggaraan elektronik yang dilakukan Tokopedia diaudit oleh pemerintah.”

David juga menilai surat CEO yang dikirim ke email seluruh pelanggan Tokopedia tidak cukup menjawab permasalahan. “Seharusnya Tokopedia menyatakan data apa saja yang bocor, tapi mereka tidak menyatakannya," ujar dia.

Secara hukum, kata David, Secara hukum, isi surat CEO tersebut belum sesuai dengan ketentuan yang diatur dalam Pasal 14 ayat 5 Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE). Juga, belum sesuai dengan Pasal 2 ayat 2 huruf (f) dan Pasal 28 huruf (c) Permenkominfo Nomor 20 Tahun 2016.

Seharusnya, kata David, Tokopedia memberitahukan secara tertulis kepada pemilik data pribadi mengenai detail informasi data pribadi apa saja yang mengalami kebocoran. "Untuk apa Tokopedia menutup-nutupi informasi ke pemilik data? Hal ini juga dapat dikategorikan menutup-nutupi tindak kejahatan," tutur David.

Selain itu, ia menyarankan agar Tokopedia membuat mekanisme khusus untuk pelaporan dari masyarakat yang terdampak kebocoran data.

David mengatakan, setelah kejadian itu, pihaknya menerima banyak laporan soal pelanggaran data Tokopedia.

"Daya menerima beberapa laporan, ada yang nomor handphone atau emailnya di akun Tokopedia diubah secara sepihak, kemudian ada juga yang akun OVO-nya (yang tersambung dengan Tokopedia) terkuras untuk belanja di Tokopedia," ujar David.

David juga mengaku mendapat laporan dari  pelanggan Tokopedia yang tidak bisa menutup akunnya.

"Ini kan aneh, padahal itu merupakan hak konsumen untuk menutup atau menghapus data," ujar David.[]