GELORA.CO - Demi keamanan data, semua pemilik akun Tokopedia harus segera mengganti password atau kata sandi. Penegasan itu disampaikan oleh pakar keamanan siber Pratama Persadha kemarin.
”Kejadian seperti ini harus cepat direspons oleh pihak Tokopedia dan para penggunanya. Karena ancaman penipuan dan pengambilalihan akun bisa terjadi kapan saja,” terangnya kemarin (3/5).
Pengambilalihan atau takeover akun sangat berbahaya bagi pemilik akun. Sebab, peretas bisa memanfaatkan akun tersebut untuk aksi-aksi berikutnya. Termasuk, tindakan melawan hukum seperti penipuan. ”Pastinya salah satu yang akan dilakukan adalah takeover akun. Lalu, pelaku secara random akan mencoba melakukan takeover akun medsos dan marketplace lainnya,” terang Pratama.
Berdasar informasi yang diterima Pratama, tidak kurang dari 14.999.896 data pemilik akun Tokopedia dapat diunduh lewat dark web. ”Memang data untuk password masih dienkripsi, namun tinggal menunggu waktu sampai ada pihak yang bisa membuka,” ungkapnya. Jika password sudah terbuka, takeover akun bisa dilakukan. Karena itu, peretas sengaja membebaskan sebagian data untuk diunduh. Sebab, data-data lain di luar password sudah terbuka. Mulai nama, tanggal lahir, sampai nomor telepon genggam pemilik akun. ”Artinya, semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet,” jelas Pratama. Tokopedia seharusnya melakukan update dan memberi info terkait dengan keadaan itu kepada seluruh pengguna.
Selain mengganti password, Pratama menyarankan semua pemilik akun Tokopedia mengaktifkan one time password atau OTP melalui SMS. ”Lalu, mengganti semua password akun medsos dan platform marketplace selain Tokopedia,” bebernya. Sebab, bukan tidak mungkin peretasan data akun Tokopedia menjalar ke akun media sosial dan marketplace lain. Sebab, ada kebiasaan penggunaan password dan e-mail serupa untuk beberapa akun.
Pratama menambahkan, Tokopedia wajib mempertanggungjawabkan bocornya jutaan data tersebut. Sebab, data-data itu sudah diperjualbelikan di dark web. Peretas ShinyHunters, lanjut dia, mengunggah thread penjualan 91 juta akun Tokopedia di forum dark web yang bernama EmpireMarket. Selain puluhan juta akun itu, ada tujuh juta data akun merchant Tokopedia yang diperjualbelikan. Dengan demikian, totalnya nyaris mencapai seratus juta data. ”Bukan lagi 15 juta seperti diinfokan sebelumnya,” bebernya.
Angka itu jelas sangat besar. Sebab, tahun lalu Tokopedia pernah mengumumkan, ada 91 juta akun aktif. Dari informasi yang dia terima, pelaku menjual data-data akun pengguna Tokopedia dengan harga Rp 74 juta. Untuk itu, Tokopedia harus bertanggung jawab.
”Wajib secara berulang-ulang dengan menggunakan segala sarana media yang ada menyosialisasikan apa saja yang harus dilakukan oleh para penggunanya,” beber dia.
Semua itu harus dilakukan sampai semua pengguna Tokopedia mengganti password.
Lebih lanjut Pratama menerangkan, peretasan data akun seperti itu juga pernah dialami marketplace lain. Yakni, Bukalapak. Mestinya kejadian-kejadian itu menjadi peringatan bagi penyedia jasa layanan internet yang memakai data masyarakat. ”Penetration test harus sesering mungkin dilakukan untuk mengetahui di mana saja letak celah keamanan,” saran dia. Apalagi untuk situs marketplace.
Menurut Pratama, marketplace bakal terus menjadi sasaran peretas karena banyak menghimpun data milik pengguna. Termasuk, data kartu kredit, kartu debit, dan dompet digital yang saat ini mulai banyak digunakan masyarakat. Untung, data yang dia terima menyatakan bahwa belum ada data kartu kredit maupun kartu debit milik pengguna Tokopedia yang disebar peretas.
”Perkuat pengamanan sistemnya, investasi lebih banyak untuk cyber security,” imbuhnya.
Sementara itu, anggota Komnas HAM M. Choirul Anam berpandangan, bocornya data pribadi masuk kategori pelanggaran hak asasi manusia. Dalam konteks global, data pribadi adalah hak atas privasi. ”Sehingga persoalan itu bagian dari pelanggaran atas data pribadi,” ujarnya kepada Jawa Pos.
Anam meminta persoalan itu diusut. Meski UU perlindungan data pribadi belum ada, pihak terkait bisa menerapkan UU Informasi dan Transaksi Elektronik (ITE) terhadap pelaku peretasan. ”Kalau itu dibocorkan internal (Tokopedia, Red), yang membocorkan juga bisa kena pidana,” paparnya.
Anam menambahkan, aturan perlindungan data pribadi seharusnya segera dibahas secara intensif oleh pemerintah. Sebab, persoalan kebocoran data pribadi beberapa kali mencuat ke permukaan. ”Data pribadi itu tidak boleh digunakan tanpa seizin yang punya,” tegas dia. []