... di mana perlindungan keamanan siber bagi masyarakat? Karena pada saat yang sama penyelenggara sistem transaksi elektronik juga sulit dimintai tanggung jawab...Semarang (ANTARA) - Peretasan dan penjualan 91 juta data pengguna Tokopedia di dark web (web gelap) yang sempat heboh awal Mei 2020, sekarang masih berlanjut.
Bahkan, hingga Minggu (5/7) pukul 10.00 WIB, tautan link untuk mengunduh data 91 juta akun Tokopedia masih ada yang mengakses. Berdasarkan data Communication and Informatian System Security Research Center (CISSReC) menyebutkan ada 58 anggota yang sudah mengunduhnya.
Pada tautan tersebut tertulis link akan kedaluwarsa sampai 5 hari ke depan. Data yang bocor adalah sama dengan awal Mei 2020, yaitu data yang diambil per bulan Maret 2020.
Kala itu kebocoran data pengguna di platform belanja daring ini menjadi perhatian serius Kementerian Komunikasi dan Informatika. Selanjutnya, Kominfo membentuk tim bersama Badan Siber dan Sandi Negara serta Tokopedia untuk mengevaluasi kasus tersebut.
Menteri Kominfo, Johnny G Plate, ketika itu memberi keterangan melalui siaran YouTube akun Kemkominfo TV, Senin (4/5), mengatakan bahwa mereka bersama BSSN dan Tokopedia akan melakukan evaluasi, penyelidikan, mitigasi teknis, dan memperbarui perkembangan.
Kominfo meminta pengelola platform digital Tokopedia melakukan investigasi internal untuk memastikan dugaan kebocoran data, kemudian mengambil langkah guna menjamin keamanan data pengguna.
Pada saat itu, Tokopedia memberitahukan kepada pengguna akun untuk segera ganti password akun, kemudian mengaktifkan one time password (OTP) atau kata sandi sekali pakai lewat SMS sampai semua penggunanya menyadari kebocoran ini dan mau mengganti password-nya.
Tokopedia dalam rilisnya kepada ANTARA, pada tanggal 2 Mei 2020, menganjurkan pengguna untuk tetap mengganti password akun secara berkala demi keamanan dan kenyamanan.
Tokopedia juga menerapkan keamanan berlapis, termasuk dengan OTP yang hanya dapat diakses secara real time oleh pemilik akun. Selain itu, pakar keamanan siber dari Vaksin.com, Alfons Tanujaya, juga melihat proteksi otomatis, two factor authentication (TFA).
Dalam memanfaatkan metode TFA atau verifikasi dua langkah, Tokopedia memanfaatkan Google Authenticator. Untuk mengaktifkan Google Authenticator, terlebih dahulu mengunduh aplikasinya di Google Play Store atau Apple App Store.
Selanjutnya, scan QR code di website Tokopedia yang dapat ditemukan di pengaturan profil akun Anda. Berikutnya, Anda akan diberikan opsi untuk memilih metode verifikasi kode OTP lewat WhatsApp atau SMS. Setelah itu, Anda mendapatkan enam digit untuk masuk ke akun Tokopedia Anda.
Terkait dengan kebocoran data itu, pakar keamanan siber dari CISSReC, Dr Pratama Persadha, menegaskan bahwa Tokopedia harus bertanggung jawab karena data pengguna yang mereka kelola bocor. Kemungkinan besar banyak pihak akan menggunakan untuk tindak kejahatan.
"Ini membuktikan bahwa Tokopedia benar-benar sudah diretas, tidak seperti penjelasan Tokopedia sebelumnya yang mengatakan 'hanya' terjadi upaya peretasan di platform-nya," kata ketua Lembaga Riset Keamanan Siber dan Komunikasi CISSReC ini.
Oleh karena itu, dia memandang perlu masyarakat mewaspadai kebocoran 91 juta data pengguna Tokopedia karena sangat memungkinkan penyalahgunaan data untuk menipu, misalnya telemarketing palsu.
Apalagi, situs marketplace (web atau aplikasi daring yang memfasilitasi proses jual beli dari berbagai toko) ini akan selalu menjadi sasaran para peretas karena banyak menghimpun data masyarakat, terutama kartu kredit, kartu debit, dan dompet digital.
Karena nama, e-mail (surat elektronik), dan nomor seluler jelas valid, memudahkan para penipu meminta sejumlah uang mengaku dari pihak mana pun, termasuk dari Tokopedia.
Ditambah lagi, bila para pelaku jago cracking hash, password (kata sandi) bisa diketahui, selanjutnya bisa terjadi pengambilalihan akun. Setelah mengetahui akun, mereka menghubungi calon korban dengan menawarkan layanan dan produk melalui telepon (telemarketing).
"Kalau hal ini terus-menerus terjadi, di mana perlindungan keamanan siber bagi masyarakat? Karena pada saat yang sama penyelenggara sistem transaksi elektronik juga sulit dimintai tanggung jawab," kata pria kelahiran Cepu, Kabupaten Blora, Jawa Tengah ini.
Kebocoran Data
Kehebohan situs marketplace alias pasar bersama ini berawal salah satu anggota sebuah grup Facebook terkait dengan keamanan siber yang berisikan hampir 15.000 anggota pada Sabtu sore (4/7) memberikan link tautan untuk mengunduh data Tokopedia sebanyak 91 juta secara gratis.
Ketika ditelusuri, link tersebut bersumber pada salah satu akun bernama @Cellbris di Raidforums yang memang sudah membagikan terlebih dahulu pada hari Jumat (3/7).
Akun tersebut, menurut Pratama, membagikan secara hampir cuma-cuma di Raidforums yang sebelumnya dia dapatkan dari cara membeli data tersebut di darkweb sebesar 5.000 dolar Amerika Serikat.
Meski gratis, pada saat pengunduhan juga tidak mudah. Hal ini dikarenakan file ini disimpan di server Amerika Serikat sehingga harus menggunakan VPN dengan IP negara tersebut.
Apalagi, kata dia, Raidforums memiliki mata uang tersendiri. Semua member yang mendaftar terlebih dahulu bisa menggunakannya. Anggota bisa mendepositkan uang melalui layanan PayPal minimal sebesar delapan euro (sekitar Rp130.000) akan mendapatkan 30 kredit.
Dibutuhkan pembayaran untuk dapat data 91 juta akun Tokopedia senilai delapan kredit. Jika sudah dilakukan, link hosting dari pihak ketiga akan muncul dan siap diunduh dengan hasil unduhan berbentuk format .rar dengan ukuran data sebesar 9,5 Gigabita. Setelah diekstrak dihasilkan file akhir berbentuk .txt sebesar 28,5 Gigabita.
Agar bisa membuka file teks sebesar itu, harus ada aplikasi khusus, seperti ultraedit. Selanjutnya, bisa melihat data sebanyak 91.174.216 yang berisikan nama lengkap, nama akun, e-mail (surel), toko daring (online), tanggal lahir, nomor HP, tanggal mendaftar, serta beberapa data yang terenkripsi berbentuk hash (suatu kode dari hasil enkripsi yang umumnya terdiri atas huruf maupun angka yang acak).
"Keyword e-mail atau nomor telepon yang ingin dicari bisa dengan mudah ditemukan," kata Pratama yang juga dosen pada Program Studi S-2 Magister Kajian Intelijen STIN.
Pakar keamanan siber ini lantas mendesak pemerintah dan DPR mempercepat pembahasan RUU Perlindungan Data Pribadi. Masalahnya, tanpa aturan yang tegas setiap penyelenggara sistem elektronik, baik negara maupun swasta, tidak ada tekanan untuk membuat sistem dan maintenance terbaik.
Ia lantas menyebut General Data Protection Regulation yang memberikan contoh bagaimana aturan turunannya memberikan list (daftar) apa saja teknologi yang harus diaplikasikan.
Bila ada kebocoran data, akan dilakukan pemeriksaan. Apabila ada hal yang belum dilakukan, bisa dikenai tuntutan dengan nilai maksimum 20 juta euro.
Sebelumnya, di awal Mei 2020 Tokopedia dihantam kebocoran data 15 juta akunnya. Akun yang membocorkan juga menginfokan memiliki dan akan menjual 91 juta data pengguna Tokopedia. Data yang sebelumnya diperjualbelikan seharga 5.000 dolar Amerika Serikat atau sekitar Rp70 juta itu, kini bisa di-download secara bebas.
Perihal kebocoran data ini menghebohkan kembali. Haruskah menunggu banyak korban?
Editor: Ade P Marboen
Copyright © ANTARA 2020
