Baca tanpa iklan
TRIBUNNEWS.COM, JAKARTA - Setelah sempat dijual di internet, bocoran data 91 juta pengguna Tokopedia muncul lewat link unduhan di sebuah grup Facebook. Bocoran data ini antara lain berisi informasi e-mail, nama lengkap, dan nomor ponsel puluhan juta pengguna tersebut.
Lewat pernyataan tertulis, pihak Tokopedia menegaskan bahwa informasi password pengguna dilindungi dengan enkripsi, sehingga sulit dibuka oleh pihak lain, kalaupun bocor.
"Kami telah melaporkan hal ini ke pihak kepolisian dan juga mengingatkan seluruh pihak untuk menghapus segala informasi yang memfasilitasi akses ke data yang diperoleh melalui cara yang melanggar hukum," ujar VP of Corporate Communications Tokopedia Nuraini Razak.
Meski demikian, Chairman Lembaga Riset Siber Indonesia Communication and Information System Security Research Center (CISSReC) Pratama Persadha mengatakan bahwa nomor ponsel, nama, dan e-mail yang kadung bocor juga dapat digunakan untuk tindak kejahatan.
Pratama mencontohkan kejahatan phising atau scam.
Dengan informasi nama dan nomor ponsel/e-mail, seseorang menghubungi korban dengan mengaku sebagai pihak Tokopedia, kemudian meminta uang atau coba mendapatkan informasi sensitif seperti password.
"Lebih dari itu, nomor-nomor tersebut sangat rentan disalahgunakan untuk tindak kejahatan serius dan berdampak luas, seperti menyebarkan hoaks," ujar Pratama kepada KompasTekno lewat pesan singkat, Minggu (5/7/2020).
Informasi nama, e-mail, dan nomor telepon yang valid, lanjut dia, juga memudahkan pelaku kriminal siber dalam melakukan profiling.
Misalnya, dari nama bisa diketahui informasi seperti suku dan agama.
"Lalu dengan e-mail dan nomor yang ada pelaku bisa melakukan pengiriman konten yang ditujukan, misalnya untuk provokasi tertentu. Hal semacam ini tentu sangat berbahaya," imbuh Pratama.
Pentingnya RUU Perlindungan Data Pribadi
Kebocoran data puluhan juta penggunanya ini, menurut Pratama, menunjukkan bahwa Tokopedia memang benar-benar sudah diretas, bukan sekadar mengalami upaya peretasan saja.
Dia menyayangkan lemahnya regulasi perundang-undangan Indonesia yang menaungi wilayah siber dan data pribadi.
Tanpa aturan yang tegas, tak ada tekanan bagi penyelenggara sistem elektronik, baik negara maupun swasta, untuk membuat sistem dan maintenance terbaik.
Pratama menyebut General Data Protection Regulation (GDPR) sebagai contoh regulasi tentang teknologi apa yang harus diaplikasikan untuk menjaga keamanan data.
Kalau ada kelalaian yang mengakibatkan kebocoran, maka penyelenggara dapat dikenakan denda.
Ketiadaan aturan serupa di Indonesa, lanjut dia, membuat masyarakat tidak memiliki perlindungan keamanan siber yang memadai.
Penyelenggara sistem transaksi elektronik juga sulit dimintai tanggung jawab.
"Karena itu, harus menjadi perhatian serius negara. Hal semacam ini terulang lagi, akan membuat Indonesia kehilangan kepercayaan internasional, lalu secara langsung menurunkan minat investasi asing," tandas Pratama.
Tanggapan Tokopedia
Menanggapi hal tersebut VP of Corporate Communications,Tokopedia Nuraini Razak menyatakan, pihak ketiga yang tidak berwenang telah memposting informasi secara ilegal di media sosial dan forum internet terkait cara mengakses data pelanggan Tokopedia yang telah dicuri.
“Kami ingin menegaskan ini bukanlah upaya pencurian data baru dan informasi password pengguna Tokopedia tetap aman terlindungi di balik enkripsi. Kami telah melaporkan hal ini ke pihak kepolisian dan juga mengingatkan seluruh pihak untuk menghapus segala informasi yang memfasilitasi akses ke data yang diperoleh melalui cara yang melanggar hukum,” tegas Nuraini, melalui pernyataan tertulis kepada Kontan.co.id, Ahad (5/7) malam.
Tindakan Tokopedia tak sampai disitu.
E-Commerce ini telah menyampaikan informasi terkait insiden pencurian data tersebut secara transparan dan berkala kepada seluruh pengguna, berkoordinasi dengan pemerintah dan berbagai pihak berwenang terkait insiden pencurian data ini. Juga telah menerapkan langkah-langkah keamanan sesuai standar internasional.
“Kami juga telah mengarahkan pengguna kami atas langkah-langkah lebih lanjut yang harus mereka ambil untuk memastikan perlindungan data pribadi mereka,” ujar Nuraini.
Sebelumya dikabarkan data siap dijual seharga US$ 5.000 atau sekitar Rp 70 juta. Rupanya bisa diunduh secara bebas. Pakar keamanan siber, Pratama Persadha pada Sabtu sore, 4 Juli 2020 menemukan, salah satu anggota pada sebuah grup Facebook terkait keamanan siber yang berisi hampir 15.000 anggota memberikan link tautan untuk mengunduh data Tokopedia sebanyak 91 juta secara gratis.
Meski berdasarkan pengecekan Kontan.co.id pada Ahad (5/7) pukul 18.00 WIB, attachment di link data itu sudah dihapus.
“Tokopedia harus bertanggungjawab karena data pengguna bocor. Ini membuktikan bahwa Tokopedia benar-benar sudah diretas, tidak seperti penjelasan Tokopedia sebelumnya yang mengatakan “hanya” terjadi upaya peretasan di platformnya,” kata Pratama yang juga Chairman Communication and Information System Security Research Center (CISSReC).
Namun Pratama menjelaskan, meski data itu gratis, pada saat pengunduhan juga tidak mudah. File ini disimpan di server Amerika sehingga harus menggunakan VPN dengan IP Amerika.
Raidforums memiliki mata uang tersendiri. Dan semua member yang mendaftar terlebih dahulu bisa menggunakannya. “Member bisa mendepositkan uang melalui layanan Paypal minimal sebesar 8 euro yang jika dirupiahkan sebesar Rp 130.000 akan mendapatkan 30 credit,” jelas Pratama.
Jika sudah membayar, link hosting dari pihak ketiga akan muncul dan siap diunduh dengan hasil unduhan berbentuk format .zip dengan ukuran data sebesar 9,5 GB. Lalu setelah dilakukan ekstrak file akhir berbentuk .txt sebesar 28,5 GB