Kebocoran Data 15 Juta Pengguna, Pengakuan Tokopedia, dan Analisis Ahli
KOMPAS.com - Situs e-commerce Tokopedia dilaporkan mengalami usaha peretasan. Data pengguna Tokopedia diduga telah diretas dan bocor di dunia maya.
Jumlahnya tak tanggung-tanggung, sebanyak 15 juta (belakangan jumlah data yang diretas dilaporkan bertambah, menjadi 91 juta) pengguna Tokopedia yang terimbas.
Informasi kebocoran tersebut pertama kali diungkap akun Twitter @underthebreach. Menurut akun tersebut, data jutaan pengguna Tokopedia tersebut telah disebarkan di forum online. Peretasan disebutkan terjadi pada Maret 2020 dan sang hacker disebutkan memiliki lebih banyak data lagi, di luar 15 juta pengguna yang telah tersebar datanya.
Data yang dikumpulkan termasuk nama pengguna, e-mail, dan hash password yang tersimpan di dalam sebuah file database PostgreSQL.Selain hash password, nama, dan alamat e-mail, data yang diretas juga mencakup tanggal lahir, kode aktivasi e-mail, kode reset password, detail lokasi, ID messenger, hobi, pendidikan, waktu pembuatan akun hingga waktu terakhir log-in.
Namun, dalam daftar akun yang terkumpul di database berjenis PostgreSQL itu, disinyalir tidak disertakan dengan kode spesifik atau biasa disebut "salt". Rangkaian kode salt ini berguna untuk melindungi kata sandi pengguna dengan algoritma. Dengan demikian, diperlukan waktu bagi peretas untuk menebak serta membobol akun pengguna.
Pernyataan Tokopedia
Pernyataan Tokopedia
Pihak Tokopedia pun mengakui bahwa ada upaya peretasan data milik pengguna. "Berkaitan dengan isu yang beredar, kami menemukan adanya upaya pencurian data terhadap pengguna Tokopedia," kata VP of Corporate Communications Tokopedia, Nuraini Razak.
Meski membenarkan adanya upaya pencurian data, Tokopedia mengklaim bahwa informasi milik pengguna tetap aman dan terlindungi. Nuraini mengatakan, password milik pengguna telah terlindungi dan dienkripsi. Selain itu, Tokopedia mengklaim telah menerapkan sistem kode OTP (one-time password) yang hanya bisa diakses secara real time oleh pemilik akun.
Meskipun begitu, Nuraini mengimbau agar pengguna tetap mengganti password akun secara berkala agar tetap aman. Tokopedia mengaku sedang menindak lanjuti masalah ini. "Saat ini, kami terus melakukan investigasi," jelas Nuraini dalam keterangan resmi yang diterima KompasTekno, Sabtu (2/5/2020) malam.
Komentar ahli keamanan siber
Komentar ahli keamanan siber
Tokopedia mengklaim data penggunanya tetap aman meski ada usaha peretasan. Namun benarkah data pengguna Tokopedia aman? Untuk memastikan hal ini, KompasTekno pun menghubungi praktisi keamanan siber dari Vaksin.com, Alfons Tanujaya terkait dugaan pembobolan akun Tokopedia ini.
Menurut Alfons, data yang tersebar tersebut memang benar merupakan database pengguna Tokopedia. Kendati demikian menurut Alfons, hanya username saja yang terpapar, sementara password-nya di-hash. Secara teknis, hash sulit untuk dipecahkan. "Data hash kira-kira mirip seperti data password yang dienkripsi dengan public key, dan yang terlihat adalah data yang sudah diacak dan pengacakan itu satu arah," tutur Alfons.
Kesimpulan:
Kebocoran data bisa terjadi kapan saja ketika terjadi gap pada pelaku bisnis internet. Pelaku bisnis perlu menjaga keamanan sistem dan sering melakukan perawatan sistem agar tidak terjadi hal-hal yang tidak diinginkan. para pebisnis harus ingat bahwa keamanan sistem sangat penting dan harus selalu up to date untuk menghindari kehilangan data.
Pada kasus ini menurut saya, tokopedia sudah melakukan audit dengan cukup baik tetapi tidak terlalu rutin dalam mengaudit tentang kemanan data, walaupun password user sudah kebocoran namun masih dapat terjaga dengan baik dengan adanya enkripsi, butuh waktu beberapa hari untuk hashing.
Pihak tokopedia tidak mengetahui kalau mereka kebocoran data ini, pihak akun twitter dengan nama @underthebreach yang memberikan berita setelah mengambil info dari forum jual beli data yaitu raidforum
Sumber:
