Channel9.id-Jakarta. Lembaga Riset Siber Indonesia CISSReC (Communication & Information System Security Research Center) tengah menginvestigasi kasus kebocoran data pengguna Tokopedia.
Menurut pakar Keamanan Siber CISSReC Pratama Persadha, peretas membobol Tokopedia mengatasnamakan Whysodank. Hasil data curian kemudian dipublikasikan di darkweb bernama Raid Forums pada Sabtu (2/5). Kemudian peretas ShinyHunters mengunggah utas yang menjual 91 juta akun Tokopedia di forum darkweb EmpireMarket.
Pratama melanjutkan, dari situlah akun Twitter @underthebreach membeberkan peretasan data pengguna Tokopedia di media sosial.
“Memang data untuk password masih dienkripsi, namun tinggal menunggu waktu sampai ada pihak yang bisa membuka. Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password,” terang Pratama.
Diketahui, data yang dijual berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone, dan password yang masih ter-hash atau tersandi. Data-data ini dijual dengan harga USD 5.000 atau setara Rp 74 juta. Bahkan, CISSReC menyebutkan, ada 14.999.896 akun Tokopedia yang datanya saat ini bisa diunduh.
Pratama menambahkan, kendati password masih berbentuk acak, namun data lain sudah plain alias terbuka. Itu berarti semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet.
“Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan dilakukan adalah takeover akun. Lalu pelaku secara random akan mencoba melakukan take over akun medsos dan marketplace lainnya, karena ada kebiasaan penggunaan password yang sama untuk semua platform,” jelas dia.
Pratama menegaskan, Tokopedia bisa mengubah password dan mengaktifkan OTP (one time password) lewat SMS.
Lalu, pengguna diminta mengganti semua password dari akun media sosial dan platform marketplace selain Tokopedia.
Lebih lanjut, Pratama mengatakan, saat mendapatkan sampel data dari forum, belum ada data kartu kredit maupun debet yang disebar pelaku. Harapannya data kartu tidak ikut menjadi salah satu yang berhasil diretas.
“Perkuat pengamanan sistemnya, investasi lebih banyak untuk cyber security. Penggunaan enkripsi harus merata terhadap semua data yang berhubungan dengan user, jangan hanya password seperti saat ini,” tandasnya.
(LH)
