Cyberthreat.id - Platform belanja daring Tokopedia merambah bisnis teknologi finansial (fintech) di tengah investigasi kebocoran data 91 juta penggunanya yang belum selesai dan gugatan yang masih berlangsung di pengadilan.

Bernaung di bawah perusahaan PT Semangat Gotong Royong, aplikasi milik Tokopedia bernama Dhanapala. Meskipun belum diluncurkan secara resmi, aplikasi ini sudah tersedia di Google Play Store dan diunduh oleh lebih dari 10 ribu pengguna.

Sejumlah petinggi Tokopedia diketahui berada di jajarann pengurus Dhanapala. Sebut saja seperti Nuraini Razak yang merupakan Vice President Communications Tokopedia yang  duduk sebagai Komisaris di Dhanapala. Sementara CEO Dhanapala dijabat oleh Sammuel A.D. Sentana yang merupakan AVP of Fintech Tokopedia.

Dalam sebuah wawancara dengan dailysocial.id, Nuraini Razak mengatakan kebutuhan untuk pembiayaan modal usaha masih sangat besar, terutama bagi pengusaha yang belum terakses perbankan.

“[Intinya] untuk memudahkan akses permodalan usaha, contohnya seller UMKM di Tokopedia ada lebih dari 8 juta, banyak yang masih memerlukan modal usaha untuk mengembangkan usahanya, khususnya masyarakat yang tidak bankable,” kata Nurani Razak awal Agustus lalu.

Masuknya Tokopedia ke bisnis keuangan ini memunculkan pertanyaan besar: bagaimana mereka bisa menjamin keamanan data pengguna, apalagi terkait keuangan, setelah kebocoran data yang merugikan hampir sepertiga penduduk Indonesia itu? Terlebih, Tokopedia awalnya terkesan menutupi adanya kebocoran data. Meski belakangan mengakuinya, hingga kini Tokopedia belum memberitahu pengguna data apa saja milik pelanggan yang bocor. (Lihat:   Surati Pengguna, CEO Tokopedia Tak Terbuka Soal Data Pribadi Sepertiga Warga Indonesia yang Dicuri).

Diketahui, 91 juta data pengguna Tokopedia itu telah diperdagangkan di forum peretasan seharga US$ 5.000 sejak Mei lalu dan sudah ada pembelinya. Belakangan, data itu bebas diunduh di forum online  (Baca: CISSReC: Data 91 Juta Akun Tokopedia Diunduh Bebas di Forum, Ada Bukti Peretasan)

Buntut dari kebocoran data itu, pada Juni lalu, Komunitas Konsumen Indonesia menggugat Tokopedia dan Kementerian Komunikasi dan Informatika. Dalam gugatannya, KKI menulai Tokopedia gagal menyimpan dan melindungi kerahasiaan data pribadi dan hak privasi para penggunanya. Persidangan kasus ini masih bergulir di pengadilan. (Baca:
Ini Tuntutan Penggugat dalam Kasus Kebocoran Data Tokopedia)

"Tokopedia tidak beritikad baik dalam menyelenggarakan sistem elektronik karena tidak pernah memberitahukan secara tertulis terjadinya penguasaan data pribadi pemilik akun Tokopedia oleh pihak ketiga secara melawan hukum,” kata Ketua KKI, David Tobing.

Berkaca dari kebocoran data Tokopedia, tidak ada jaminan data pengguna Dhanapala tidak akan bocor seperti yang terjadi pada pengguna Tokopedia. Apalagi, setelah empat bulan berlalu, hingga kini hasil investigasi kebocoran data belum diumumkan ke publik. Walhasil, publik tidak mengetahui penyebab dan bagaimana Tokopedia mengantisipasi agar kebocoran data itu tidak terulang.

Sebelumnya, Pakar keamanan cyber dari CISSReC (Communication and Information System Security Research Center), Pratama Persadha, mengatakan Tokopedia harus bertanggung jawab terhadap insiden pelanggaran data.

Menurutnya, episode kebocoran data di Indonesia terus berlanjut, membuktikan betapa lemahnya regulasi perundang-undangan Indonesia yang menaungi wilayah siber dan data pribadi.

"Sekali lagi, RUU Pelindungan Data Pribadi harus segera diselesaikan dan wajib mengatur sanksi serta standar teknologi yang dijalankan untuk penyelenggara sistem elektronik," ujarnya.

Tanpa aturan yang tegas terhadap setiap penyelenggara sistem elektronik, baik negara maupun swasta, tidak bakal ada tekanan untuk membuat sistem dan maintenance terbaik.

Menurut Pratama, regulasi GDPR (General Data Protection Regulation) di Eropa memberikan contoh bagaimana aturan turunannya memberikan list teknologi apa saja yang harus diaplikasikan. Jika ada kebocoran data harus dilakukan pemeriksaan, dan apabila ada hal yang belum dilakukan, maka bisa dikenai tuntutan dengan nilai maksimum 20 juta euro.

"Kalau data ini jatuh ke tangan orang yang tidak bertanggung jawab, sangat memungkinkan digunakan sebagai sumber dasar tindakan kriminal."

Adapun data yang sudah beredar bisa digunakan untuk tindak kejahatan, Misalnya telemarketing palsu. Yang paling berbahaya pihak-pihak mengaku dari Tokopedia menelpon calon korban. Karena nama, email dan nomor seluler jelas valid. dan memudahkan para penipu meminta sejumlah uang dengan mengaku dari pihak manapun termasuk Tokopedia.

Lebih lanjut, jika para pelaku jago melakukan cracking hash, maka password memungkinkan diketahui dan selanjutnya bisa terjadi pengambilalihan akun.

"Bila seperti ini terus menerus terjadi, dimana perlindungan keamanan siber bagi masyarakat? Karena disaat yang sama penyelenggara sistem transaksi elektronik juga sulit dimintai tanggung jawab," ujarnya

Tokopedia belum dapat dimintai komentarnya terkait bagaimana mereka menjamin keamanan data pengguna Dhanapala.[]