GELORA.CO - Belasan juta data pribadi Tokopedia dituding bocor dan ditawarkan di forum online. Informasi ini diungkap akun Twitter @underthebreach. Disebutkan peretasan terjadi Maret 2020, mempengaruhi 15 juta pengguna meskipun hacker mengatakan ada lebih banyak data yang dimiliki.
"Basis data berisi email, hash kata sandi, nama," terang akun @underthebreach. Mengkhawatirkannya, seperti diinformasikan sang peretas, data kemungkinan besar tanpa informasi salt. Jadi mempermudah hacker untuk menebak password.
Actor leaked the database of Tokopedia - a large Indonesian technology company specializing in e-commerce.- Hack occurred in March 2020 and affects 15,000,000 users though the hacker said there are many more.- Database contains emails, password hashes, names pic.twitter.com/CZTYImj6jA
— Under the Breach 🦠(@underthebreach) May 2, 2020
Karena itu akun @GilangHamidy yang membalas cuitan @underthebreach menyarankan pengguna untuk mengganti password. Karena ditakutkan informasi yang diberikan benar-benar tidak mengandung salt.
Merespons itu, VP of Corporate Communications Tokopedia Nuraini Razak mengatakan pihaknya selalu berupaya menjaga kerahasiaan data pengguna. Pasalnya bisnis Tokopedia adalah bisnis kepercayaan. "Keamanan data pengguna merupakan prioritas utama Tokopedia," tegas Nuraini.
Berkaitan dengan isu yang beredar, Tokopedia menemukan adanya upaya pencurian data terhadap pengguna. Namun mereka memastikan informasi penting pengguna, seperti password, tetap berhasil terlindungi.
"Meskipun password dan informasi krusial pengguna tetap terlindungi di balik enkripsi, kami menganjurkan pengguna Tokopedia untuk tetap mengganti password akunnya secara berkala demi keamanan dan kenyamanan," ujar Nuraini.
Tokopedia disebutkan turut menerapkan keamanan berlapis, termasuk dengan OTP yang hanya dapat diakses secara real time oleh pemilik akun. Karena itu mereka kerap mewanti-wanti pengguna untuk tidak memberikan kode OTP kepada siapapun dan untuk alasan apapun.
"Saat ini, kami terus melakukan investigasi dan belum ada informasi lebih lanjut yang dapat kami sampaikan," pungkas Nuraini.
Ganti Password
Berkaca pada kasus Tokopedia, pengamat keamanan internet dari Vaksincom Alfons Tanujaya mengatakan untuk membobol data kredensial secara teknis sangat sulit. Ada perlindungan salt (enkripsi).
"Salt umumnya satu arah, ibaratnya itu diamankan dengan public key dan private keynya hanya diketahui server," kata Alfons saat dihubungi detikINET.
Bila sang hacker mengaku datanya tanpa salt, ada kemungkinan dapat menebak password asalkan bisa bruteforce. Jadi ini kembali pada server Tokopedia apakah ada perlindungan tersebut.
"Kalau ada perlindungan Bruteforce yah tidak bisa. Paling coba beberapa kali sudah diblok," terang Alfons.
Kendati begitu lantaran yang bocor database username, email dan nomor ponsel harus tetap menjadi perhatian utama Tokopedia dan para penyelenggara e-Commerce dan layanan online lainnya.
Pasalnya data tersebut bisa disalahgunakan untuk keperluan lain, seperti scam seakan-akan dari Tokopedia. "Jadi kalau korbannya tidak sadar, mungkin dia bisa menjadi korban phising dan memberikan passwordnya tanpa sadar," jelas Alfons.
Karena itu Alfons menyarankan pengguna akun Tokopedia mengganti password dan mengaktifkan two faktor authentification (TFA). Ini sangat penting, sebab seberapa pun seringnya mengganti password kamu tidak akan sepenuhnya aman bila tidak mengaktifkannya.
"Meskipun sering ganti-ganti password tetapi tanpa TFA, kalau ada keylogger di komputer mau serumit apapun dan sesering apapun mengganti password maka akan tetap bisa dijebol," terang Alfons.
Pemegang akun Tokopedia harap berhati-hati jika menerima email atau promo apapun yang tidak diketahui sumbernya dan jangan sekali-kali login jika tidak meyakini keamanan situs. Disarankan gunakan program deteksi seperti Webroot Filtering Extension yang secara otomatis akan mendeteksi dan memblok situs phishing.
Bagi Tokopedia, Alfons memberi masukan untuk menginvestigasi dari mana sumber kebocoran data ini dan lebih berhati-hati karena memang sudah menjadi incaran peretas.
"Harap ekstra hati-hati khususnya di masa-masa WFH ini. Usahakan gunakan VPN dengan baik dan training karyawan untuk selalu mengamankan dirinya dengan baik," sarannya.[dtk]