Pakar Forensik Digital Ruby Alamsyah (tengah) saat mengikuti diskusi yang diselenggarakan Cyberthreat.id bekerja sama dengan Badan Siber dan Sandi Negara di Auditorium BSSN, Jakarta Senin (27 Mei 2019) | Foto: Cyberthreat.id/Rahmat Herlambang
Pakar Forensik Digital Ruby Alamsyah (tengah) saat mengikuti diskusi yang diselenggarakan Cyberthreat.id bekerja sama dengan Badan Siber dan Sandi Negara di Auditorium BSSN, Jakarta Senin (27 Mei 2019) | Foto: Cyberthreat.id/Rahmat Herlambang
Cyberthreat.id – Pakar Forensik Digital, Ruby Alamsyah, mengatakan, dari 91 juta akun pengguna Tokopedia yang dijual di forum peretas, sebanyak 500.000 akun memakai metode enkripsi yang lemah, termasuk enkripsi pada kata sandi (password).
"Setengah juta data warga kita yang ada di platform tersebut, ternyata, berupa password lama dan rentan dibobol aktor jahat," kata Ruby dalam sedaring Selasa (28 Juli 2020).
Sementara, sekitar 90,5 juta akun menggunakan teknologi enkripsi yang kuat. Analisis Ruby itu berdasarkan pada hasil risetnya sendiri.
Dalam hitungan detik saja, kata dia, kata sandi itu bisa dibobol, terutama yang masih memakai teknologi hashing sederhana.
“Dan, kami berhasil untuk membobol ratusan data tersebut, dalam artian bisa, karena hashing atau encryption yang dipakai masih teknologi lama. [Kata sandi] itu bisa di-decrypt secara mudah," ujar Ruby.
Meski Ruby tidak menjelaskan metode enkripsi apa yang digunakan oleh Tokopedia, ia bersedia untuk memberikan proof of concept (POC)—bukti demonstrasi dari dekripsi 500.000 password tersebut.
Dari analisis terhadap data yang bocor itu, Ruby meyakini peretas mengakses basis data 91 juta akun pengguna Tokopedia pada Maret 2020.
Sejauh ini belum ada pernyataan resmi dari Tokopedia terkait dengan detail peretasan. Pembaruan terakhir Kepolisian Republik Indonesia masih dalam tahap penyelidikan. Ada tiga karyawan Tokopedia yang diperiksa oleh penyidik dengan berstatus sebagai pelapor dan saksi.
Ruby mengimbau agar masyarakat mengirimkan atau memberikan data pribadi seminimal mungkin terhadap para penyedia platform digital. Ini langkah terbaik untuk meminimalisasi bocornya informasi pribadi sembari menunggu pengesahan Rancangan UU Perlindungan Data Pribadi.
Berita Terkait:
Temuan serupa lain
Analisis Ruby memiliki kemiripan dengan temuan pengguna Twitter bernama Bung Nabung (@ThePandhitas).
Di akun Twitter-nya, ia mengklaim telah berhasil membuka kata sandi yang dienkripsi. Menurut dia, sebagian kata sandi yang berhasil dibukanya itu awalnya dienkripsi dengan algoritma hash “MD5” (Message-Digest algorithm 5).
Namun, sebagian kata sandi lainnya masih dilindungi dengan SHA2-384, alogaritma hash yang saat ini diklaim lebih aman dan cukup sulit dibuka.
"Ada dua tabel di Tokopedia, yaitu user_pwd sama user_pwd1. Nah, user_pwd_1 itu [menggunakan] MD5. Saya parsing (mengurainya) menjadi id:hash," kata Bung Nabung saat dikonfirmasi Cyberthreat.id melalui layanan olah pesan WhatsApp, Minggu (10 Mei 2020).
MD5 adalah versi lama dari alogaritma kriptografi, di mana kata kunci masih bisa menggunakan 4 huruf. Didesain oleh Ronald Rivest pada 1991. Lima tahun kemudian, pada 1996 ditemukan cacat dalam desainnya sehingga mulai ditinggalkan dan digantikan dengan alogaritma baru seperti SHA-1 dan SHA-2. Saat ini, di pasaran juga tersedia aplikasi untuk membuka enkripsi MD5 yang disebut "MD5 Hash Generator."
Sebelumnya, Pakar Kriptografi, Rifki Sadikin, menjelaskan secara teori enkripsi MD5 memang kurang aman dibandingkan SHA2. Sebab, enkripsi MD5 hanya memiliki panjang 128 bit. Semakin panjang bit-nya maka semakin sulit peretas mendekripsi data kata sandi yang di-hash.
"SHA2 lebih panjang bit-nya. Jadi, kalau [ada serangan] brute force lebih lama [dibobolnya],” kata dia.
SHA-2 adalah algoritma enkripsi yang menggantikan SHA-1 dan diklaim memiliki tingkat keamanan lebih tinggi. SHA-2 memiliki empat varian, yaitu SHA-2 224, SHA-2 256, SHA-2 384, dan SHA-2 512—angka-angka yang tertera tersebut menunjukkan panjang bit.[]
Redaktur: Andi Nugroho
Share:
