WartaPenaNews, Jakarta – Pada awal Mei 2020 Tokopedia dihantam kebocoran data 15 juta akunnya.
Akun yang membocorkan juga menginfokan memiliki dan akan menjual 91 juta
data pengguna Tokopedia. Data yang sebelumnya diperjualbelikan seharga
US$ 5.000 atau sekitar Rp 70 juta itu kini bisa didownload secara bebas.
Sebelumnya pada Sabtu sore 4 Juli 2020, salah satu anggota pada sebuah
group facebook terkait keamanan siber yang berisikan hampir 15 ribu
anggota memberikan link tautan untuk mengunduh data Tokopedia sebanyak
91 juta secara gratis.
Saat ditelusuri, link tersebut bersumber pada salah satu akun bernama
@Cellbris di forum Raidsforum yang memang sudah membagikan lebih dulu
pada Jumat 3 juli 2020. Akun tersebut membagikan secara hampir cuma-cuma
di Raidforums yang sebelumnya dia dapatkan dari cara membeli data
tersebut di darkweb sebesar $5000.
Dalam keterangannya Minggu (5/7/2020), pakar keamanan siber Pratama Persadha
menjelaskan bahwa ini menjadi pelajaran yang sangat berharga. Tokopedia
jelas harus bertanggungjawab karena data pengguna yang mereka kelola
bocor dan pastinya akan banyak pihak yang menggunakan untuk tindak
kejahatan. Ini membuktikan bahwa Tokopedia benar-benar sudah diretas,
tidak seperti penjelasan Tokopedia sebelumnya yang mengatakan “hanya”
terjadi upaya peretasan di platformnya.
“Meski gratis, pada saat pengunduhan juga tidak mudah. Dikarenakan file
ini disimpan di server amerika sehingga harus menggunakan VPN dengan IP
Amerika. Raidforums memiliki mata uang tersendiri, dan semua member yang
mendaftar terlebih dahulu bisa menggunakannya. Member bisa mendepositkan
uang melalui layanan Paypal minimal sebesar 8 euro yang jika dirupiahkan
sebesar Rp 130 ribu akan mendapatkan 30 credit,†jelas chairman Lembaga
Riset Siber Indonesia CISSReC (Communication and Information System
Security Research Center) ini.
Ditambahkan Pratama dibutuhkan pembayaran untuk mendapatkan data 91 juta
akun tokopedia yaitu seharga 8 credit. Jika sudah dilakukan, maka link
hosting dari pihak ketiga akan muncul dan siap diunduh dengan hasil
unduhan berbentuk format .rar dengan ukuran data sebesar 9,5Gb. Lalu
setelah dilakukan ekstrak dihasilkan file akhir berbentuk .txt sebesar
28,5Gb.
“Tapi tidak lantas kita bisa membuka file teks sebesar itu, harus ada
aplikasi khusus semisal ultraedit untuk bisa membuka nya. Setelah itu
kita bisa melihat data sebanyak 91.174.216 yang berisikan nama lengkap,
nama akun, email, toko online, tanggal lahir, nomor HP, tanggal
mendaftar, serta beberapa data yang terenkripsi berbentuk hash. Lalu
dengan mudahnya dengan fitur pencarian, keyword email atau nomor telepon
yang ingin dicari bisa dengan mudah ditemukanâ€, terang pria asal Cepu
Jawa Tengah ini.
Sampai pada hari Minggu, Tanggal 5 Juli 2020 Pukul 10.00 WIB, tautan
link untuk mengunduh data 91 juta akun Tokopedia masih bisa diakses dan
sudah ada 58 anggota yang sudah mengunduhnya. Pada tautan tersebut
tertulis link akan kadaluarsa sampai 5 hari kedepan. Data yang bocor
adalah sama dengan awal Mei 2020 lalu, yaitu data yang diambil per bulan
Maret 2020.
“Adanya 91 juta data yang bocor ini membuktikan betapa lemahnya regulasi
perundang-undangan kita yang menaungi wilayah siber dan data pribadi.
Sekali lagi, RUU Perlindungan Data Pribadi harus segera diselesaikan dan
wajib mengatur sanksi serta standar teknologi yang dijalankan untuk
penyelenggara sistem elektronik,†tegasnya.
Pratama menjelaskan, tanpa aturan yang tegas setiap penyelenggara sistem
elektronik baik negara maupun swasta tidak ada tekanan untuk membuat
sistem dan maintenance terbaik. GDPR (General Data Protection
Regulation) memberikan contoh pada kita bagaimana aturan turunannya
memberikan list apa saja teknologi yang harus diaplikasikan, bila ada
kebocoran data akan dilakukan pemeriksaan dan apabila ada hal yang belum
dilakukan maka bisa dikenai tuntutan dengan nilai maksimum 20 juta euro.
“Kalau data ini jatuh ke tangan orang yang tidak bertanggung jawab,
sangat memungkinkan digunakan sebagai sumber dasar tindakan kriminal.
Data yang sudah beredar ini bisa digunakan untuk tindak kejahatan,
Misalnya telemarketing palsu. Lalu yang paling berbahaya mengaku dari
Tokopedia menelpon calon korban. Karena nama, email dan nomor seluler
jelas valid. Memudahkan para penipu meminta sejumlah uang mengaku dari
pihak manapun termasuk tokopedia”, terang Pratama.
Ditambahkan olehnya, bila para pelaku jago melakukan cracking hash, maka
password memungkinkan diketahui dan selanjutnya bisa terjadi
pengambilalihan akun. Bila seperti ini terus menerus terjadi, dimana
perlindungan keamanan siber bagi masyarakat? Karena disaat yang sama
penyelenggara sistem transaksi elektronik juga sulit dimintai tanggung
jawab.(cim)
