JAKARTA - Sebanyak 91 juta akun pengguna dan lebih dari 17 juta data merchant Tokopedia telah diretas dan diperjualbelikan di situs dark web. Data-data tersebut bahkan dijual dengan harga 5.000 dolar AS atau sekitar Rp73,4 juta.
Kasus kebocoran data privasi, semacam password hingga identitas pengguna tentu menjadi tamparan berat bagi Tokopedia. Apalagi banyaknya akun pengguna yang terintegrasi dengan sistem alat pembayaran lain seperti OVO, kartu kredit dan debit yang terdaftar.
Tentunya kebocoran 91 juta akun Tokopedia di situs dark web, menimbulkan kepanikan di kalangan penggunanya. Sebab berbagai cara untuk melindungi data privasi dari peretasan hacker telah dilakukan, mulai dari ganti password secara berkala, hingga mengaktifkan PIN dan two-factor authentication dengan OTP (One Time Password).
Actor leaked the database of Tokopedia - a large Indonesian technology company specializing in e-commerce.
- Hack occurred in March 2020 and affects 15,000,000 users though the hacker said there are many more.
- Database contains emails, password hashes, names pic.twitter.com/CZTYImj6jA
— Under the Breach 🦠(@underthebreach) May 2, 2020
Apalagi ini bukan kasus peretasan yang pertama kali terjadi di Indonesia. Bila diingat Maret 2019, situs e-commerce Bukalapak juga pernah dibobol oleh peretas. Kala itu 13 juta akun pengguna Bukalapak berhasil diretas dan diperjualbelikan juga di dark web.
Peretas yang menamakan dirinya Gnosticplayers itu bahkan telah menjual data akun Bukalapak secara eceran di salah satu situs dark web. Total keuntungan yang dikonfersikan dalam bentuk bitcoin yang setara dengan 5.000 dolar AS atau sekitar Rp72 juta (Rp14,500 saat itu).
"Dengan adanya insiden ini, keamanan data privasi mulai dianggap penting dan harus segera dibenahi," kata Researcher IT Security, Didik Irawan saat mengomentari kasus peretasan Bukalapak pada Maret 2019.
Bagi Didik, akun maupun data privasi yang tersimpan dalam satu situs merupakan aset penting bagi seseorang di jagat digital. Dan sudah sejatinya, penyedia layanan e-commerce memberikan perlindungan lebih dengan sistem keamanan berlapis untuk menghindari peretasan atau pembobolan hacker dalam mengakses data privasi penggunanya.
"Data yang diunggah ke internet itu enggak ada yang tidak penting. Semuanya penting dan bisa disalah-gunakan, apalagi bagi para hacker dan pihak-pihak tak bertanggung jawab," ucap Didik.
Baik penyedia jasa dan pengguna turut ambil bagian penting dalam menjaga kerahasiaan data yang sifatnya sensitif serta rahasia. "Bukan cuma layer security dari sisi pemilik situsnya saja, tapi dari sisi user perlu diperhatikan sebagai upaya prefentifnya," imbuhnya.
EXCLUSIVE — A hacker who previously claimed to have hacked massive databases [millions of records] from multiple websites and then put them online for sale in 3 rounds has now come back with a new set of databases breached from 6 other websites
(story coming shortly, stay tuned)
— The Hacker News (@TheHackersNews) March 17, 2019
Mandeknya Pembahasan RUU Perlindungan Data Pribadi
Berkaca dari kasus Tokopedia, pembahasan RUU Perlindungan Data Pribadi (PDP) sepertinya harus segera kembali dibahas pemerintah dan DPR. Sebab UU PDP dianggap penting untuk melindungi data privasi baik online maupun offline masyarakat Indonesia. Di samping regulasi seperti UU Nomor 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) dan Peraturan Pemerintah (PP) Nomor 71 2019.
Sebab beleid itu akan mengatur mengenai mekanisme keamanan data pengguna informasi dan transaksi elektronik. Sehingga diharapkan bisa memberikan kepastian hukum apabila data pribadi disalahgunakan oleh orang atau pihak lain.
Di mana dalam draft RUU PDP berisi 80 pasal yang salah satunya mengatur pidana denda Rp100 miliar bagi pihak yang memproses data pribadi tanpa izin. Draft ini pun sudah diserahkan ke Dewan Perwakilan Rakyat (DPR) sekitar bulan Februari 2020.
"Pengendali Data Pribadi dan Prosesor Data Pribadi yang dengan sengaja melakukan pemrosesan Data Pribadi untuk tujuan komersial dan/atau pemrofilan tanpa persetujuan Pemilik Data Pribadi sebagaimana dimaksud dalam Pasal 58 dipidana dengan pidana denda paling banyak Rp100 miliar," bunyi Pasal 73 RUU PDP.
Adapun Pasal 58 berbunyi "Pengendali Data Pribadi dan Prosesor Data Pribadi dilarang melakukan pemrosesan Data Pribadi untuk tujuan komersial dan/atau pemrofilan kecuali atas persetujuan Pemilik Data Pribadi."
Bila diterjemahkan data Pribadi dalam draft UU PDP adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau non elektronik.
Sayangnya draft RUU PDP sedang mandek di tangan DPR. Menurut Direktur Jenderal Aplikasi Informatika, Samuel Abrijani Pangarepan, pembahasan RUU PDP di DPR sedang terhambat oleh pandemi Covid-19.
"Kami sedang merancang pertemuan online untuk membahas RUU PDP. Pembahasan RUU selalu diikuti perdebatan intens untuk mencari solusi terbaik bagi masyarakat," ujar pria yang akrab disapa Sammy, sebagaimana dikutip dari laman Kompas.com.
BACA JUGA:
Sungguh disayangkan bila, regulasi yang justru melindungi data privasi masyarakat Indonesia harus tertahan cukup lama. Sebab semakin lamanya regulasi ini tak dirampungkan, akun masyarakat baik online maupun offline akan terlantar begitu saja di ruang virtual dunia maya, dan tak menutup kemungkinan banyak disalahgunakan oleh orang tak bertanggungjawab.
Beda halnya di Eropa, yang telah memiliki Peraturan Perlindungan Data Umum atau General Data Protection Regulation (GDPR). Undang-undang itu mengatur lengkap tentang mekanisme sanksi denda yang diberikan oleh perusahaan apabila lalai melindungi data pengguna.
Kala itu British Airways jadi salah satu perusahaan maskapai penerbangan yang dipermasalahkan GDPR, lantara kasus kebocoran data penumpang pada 2018. Maskapai penerbangan Inggris itu pun harus membayar denda sebesar 204,6 juta poundsterling atau sekitar Rp3 triliun karena kelalaiannya melindungi data penumpangnya.