Bagikan:

JAKARTA - Puluhan juta data pengguna situs e-commerce terbesar di Indonesia, Tokopedia bocor. Hal ini tentu mengancam keamanan data pengguna termasuk peretasan pada akses keuangan mereka. Lebih parah lagi, peretasan data itu bisa merambat kepada akun-akun marketplace lain dan sosial media.

Mulanya akun Twitter penyedia jasa layanan pemantauan @underthebreach melaporkan sekitar 91 juta akun pengguna dan 7 juta akun merchant Tokopedia diretas. Jumlah itu sama persis dengan laporan data jumlah pengguna Tokopedia 2019. Artinya, hampir semua data akun marketplace tersebut diretas.

Peretas menjual data itu di darkweb yang berisi nama lengkap, email, nomor telepon, kata sandi hash (yang masih terenkripsi), tanggal lahir, dan detail terkait profil Tokopedia menurut ZDNet yang telah memperoleh salinan data tersebut. Semua dijual dengan harga 5.000 dolar AS atau sekitar Rp74 juta.

Pakar keamanan siber Pratama Persadha menjelaskan peretas bernama Whysodank pertama kali mempublikasikan hasil kerjanya di forum kemarin, Sabtu 2 Mei. Lalu Peretas ShinyHunters mengunggah penjualan 91 juta tersebut di forum darkweb bernama Empire Market. Dari situ kemudian akun Twitter @underthebreach mendapat sumber.

Mengancam Akun-akun Lain

Kendati data password masih terenkripsi, Ketua Lembaga Riset Siber Indonesia CISSReC Pratama Persadha bilang hal itu tinggal menunggu waktu sampai ada pihak yang bisa membuka.

"Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password," katanya kepada wartawan. 

Pratama menjelaskan semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan seperti mengirim link pancingan (phishing). Dari situ peretas kemudian bisa mengambil alih akun.

Lebih parah lagi bila kata sandi berhasil dibuka, peretas bisa merambat membobol akun media sosial dan marketplace lainnya. "Karena ada kebiasaan pengguna password yang sama untuk semua platform," kata Pramata.

Oleh karena itu kata Pratama pihak Tokopedia harus bertanggung jawab atas kejadian ini. Pasalnya keamanan data pengguna sudah terancam malah sampai diperjualbelikan.

Dari data yang berhasil diretas, belum ada data keuangan seperti kartu kredit maupun debit. Semoga data ini tidak berhasil diretas.

Untuk mengatasi masalah ini pihak Tokopedia wajib mensosialisasikan yang harus dilakukan oleh para penggunanya. Beberapa yang perlu dilakukan adalah mengganti kata sandi akun Tokopedia, dan mengaktifkan pengamanan lapis kedua yakni OTP atau Password Satu Kali.

OTP merupakan kata sandi yang dapat memvalidasi aktivitas yang pengguna lakukan pada akun tersebut. Cara kerjanya OTP mengirimkan kata sandi melalui SMS. Kode itu kemudian diinput kembali pada akun yang bersangkutan untuk melanjutkan aktivitas tertentu termasuk berbelanja.