Cyberthreat.id - Bobolnya data 91 juta pengguna Tokopedia membuat sejumlah netizen baru sadar ternyata data mereka sebagai pengguna Bukalapak juga pernah dibobol peretas tahun lalu.

Di sosial media Twitter, sejumlah netizen mengaku terkejut menemukan bahwa alamat email yang mereka pakai saat mendaftar di Bukalapak, termasuk yang turut dibobol hacker.

Mereka menemukan akun Bukalapak-nya telah diretas saat mengecek menggunakan peramban Firefox di bilah alamat https://monitor.firefox.com. Pengguna tinggal memasukkan alamat email mereka, dan nantinya Firefox akan memberitahu apakah email mereka termasuk dalam data yang diretas.

Ada juga yang menggunakan https://haveibeenpwned.com. Secara garis besar, cara kerjanya sama. Pengguna tinggal memasukkan alamat email mereka. (Caranya bisa diakses di sini: Data Pengguna Tokopedia Bocor, Segera Cek Email Anda di Sini! dan Berikut Cara Cek Akun-akun Online Anda yang Diretas).

 

Dalam kasus Bukalapak, mereka yang mendapati alamat emailnya termasuk dalam data yang digondol hacker, haveibeenpwned.com menampilkan pemberitahuan,"Pada bulan Maret 2019, situs web e-commerce Indonesia, Bukalapak menemukan pelanggaran data cadangan sejak Oktober 2017. Insiden ini mengekspos sekitar 13 juta alamat email unik bersama dengan alamat IP, nama dan kata sandi yang yang disimpan sebagai bcrypt and salted SHA-512 hashes. Data yang dikompromikan: alamat email, alamat IP, nama, kata sandi, dan nama pengguna."

Data Bukalapak Kembali Dijual
Seturut kejadian pembobolan data pengguna Tokopedia baru-baru ini, data pengguna Bukalapak juga kembali diperjualbelikan di forum dark web (hanya dapat diakses dengan peramban khusus).

Pada hari ini, Rabu, 6 Mei 2020, seorang pemilik akun Raid Forum yang menggunakan nama Asian Boy mengatakan dirinya memiliki 13 juta data pengguna Bukalapak.

“Saya menjual basis data Bukalapak, 12.960.526 pengguna,” kata dia melalui Raid Forums.

Akun lain dengan nama Startexmislead juga mengaku punya data hampir 13 juta akun pengguna Bukalapak. “Hubungi saya di PM, tidak akan menerima penawaran di luar platform (PM),” kata dia.

Startexmislead juga memberi sampel data yang dijualnya yang antara lain berisi nama petinggi dan mantan petinggi Bukalapak seperti Achmad Zaky, Nugroho Nugroho (keduanya tak lagi di Bukalapak), dan Fajrin Rasyid yang saat ini menjabat Presiden Bukalapak.

Kemungkinan data itu adalah lama yang kembali diperjualbelikan menyusul insiden peretasan Tokopedia. Sebagai catatan, mereka yang memperjualbelikan data itu tidak otomatis sebagai pelaku peretasan. Bisa saja data itu dibeli dari orang lain, lalu kembali diperjualbelikan.

Kronologis Peretasan Bukalapak
Pada 17 Maret 2019, The Hacker News menurunkan laporan jutaan akun di Bukalapak dan Youthmanual dibobol hacker. Disebutkan, peretas berhasil mencuri 13 juta akun di Bukalapak dan 1,12 juta akun di Youthmanual.

Peretas, tulis The Hacker News, yang mengirimi informasi melalui email redaksi mengaku berasal dari Pakistan dengan nama samaran Gnosticplayers. Selain dari Bukalapak dan Youthmanual, peretas mengaku memiliki jutaan akun dari GameSalad, Lifebear, EstanteVirtual, dan Coubic. Data curian yang dijual Gnosticplayers merupakan rilis keempat setelah sebelumnya telah merilis jutaan data curian.
 
Ketika itu, pada 18 Maret 2020, dalam email kepada Cybertheat.id, Head of Corporate  Communication Bukapalak Intan Wibisono mengatakan upaya peretasan ke Bukalapak memang pernah ada beberapa waktu lalu.

“Namun, tidak ada data penting seperti user, password, finansial, atau informasi pribadi lainnya yang berhasil didapatkan (peretas),” ujar Intan.

“Kami selalu meningkatkan sistem keamanan di Bukalapak, demi memastikan keamanan dan kenyamanan para pengguna Bukalapak, dan memastikan data-data penting pengguna tidak disalahgunakan,” ia menambahkan.

Menurut Intan, upaya peretasan seperti itu memang sangat berpotensi terjadi di industri digital.

Selang dua hari, 20 Maret 2019, di akun Twitter-nya (@TheHackersNews), The Hacker News mencuit bahwa Bukalapak telah mengontaknya dan meminta agar menghapus nama perusahaan dalam laporan tersebut. Menurut Bukalapak, data itu belum tentu data pelanggan. Namun, permintaan dari Bukalapak itu ditolaknya. (Selengkapnya baca: Data Bukalapak Terbuka, 13 Juta Akun Bocor? dan 26 Juta Akun yang Dicuri Hacker Dihargai US$5.000, Termasuk 13 Juta dari Bukalapak).

Cuitan dari Hacker News itu mengindakasikan ada upaya dari Bukalapak untuk menyembunyikan insiden peretasan data itu. Terbukti, banyak pengguna yang baru sadar sekarang bahwa data mereka telah diretas tahun lalu.

Padahal, alih-alih menyembunyikan dari konsumen, harusnya Bukalapak secara terbuka menyampaikan pemberitahuan kepada mereka yang terdampak. Dengan begitu, setidaknya penggguna bisa melakukan langkah-langkah untuk menyelamatkan data mereka dari bencana berikutnya yang mengintai seperti menjadi korban phishing lewat email tertarget dan lainnya.[]