Aktivis HAM Desak Tokopedia Beri Notifikasi Pencurian Data ke Semua Pengguna
PerbesarLembaga Studi dan Advokasi Masyarakat (ELSAM) meminta Tokopedia segera mengumumkan masalah kebocoran data pribadi pengguna mereka. Menurut organisasi hak asasi manusia tersebut, pemberitahuan kebocoran data ke pengguna merupakan kewajiban yang ada di undang-undang.
ELSAM menemukan setidaknya 12.115.583 kebocoran data pengguna Tokopedia. Data yang bocor terdiri dari alamat email, tanggal lahir, gender, nama, nomor HP, dan password hash pengguna.
"Adanya dugaan kebocoran ini juga telah diakui oleh pihak Tokopedia, meski masih menggunakan pernyataan adanya upaya peretasan," kata ELSAM dalam keterangan pers yang diterima kumparan, Minggu (5/3).
"Sayangnya meski sudah terjadi dalam beberapa hari, sampai dengan saat ini belum ada notifikasi tertulis dari penyelenggara platform kepada para konsumennya, sebagai pemilik data pribadi," sambung mereka.
Kebocoran data pengguna Tokopedia sendiri pertama kali dilaporkan oleh Under the Breach (@underthebreach), akun Twitter yang berfokus pada aktivitas kebocoran data dan hacker. Menurut mereka, setidaknya ada 15 juta data pengguna yang berhasil dirampas hacker.
Jumlah tersebut meningkat pada 3 Mei 2020. Menurut laporan Under the Breach, hacker saat ini sedang mencoba menjual data pribadi pengguna di sebuah situs forum.
Laporan Under the Breach telah dikonfirmasi oleh Communication and Information System Security Research Center (CISSReC). Menurut lembaga riset keamanan siber tersebut, hasil peretasan pertama kali dipublikasi oleh hacker dengan username Whysodank di sebuah forum khusus informasi kebocoran data pada Sabtu (2/5).
Kemudian hacker dengan nama akun ShinyHunters memposting thread penjualan 91 juta akun Tokopedia di situs forum EmpireMarket. Bagaimanapun, CISSReC tak menemukan adanya informasi kartu kredit maupun debit pengguna di data tersebut.
Tokopedia sendiri telah mengakui adanya percobaan pencurian 15 juta data pengguna. Namun, perusahaan e-commerce tersebut tidak menjelaskan berapa jumlah yang terdampak dan apakah benar data pengguna bocor.
"Berkaitan dengan isu yang beredar, kami menemukan adanya upaya pencurian data terhadap pengguna Tokopedia, namun Tokopedia memastikan, informasi penting pengguna, seperti password, tetap berhasil terlindungi," kata VP of Corporate Communications Tokopedia, Nuraini Razak, dalam sebuah keterangan pers kepada kumparan, Sabtu (2/5).
Nuraini kemudian mengimbau agar pengguna mengubah password mereka. Pada Minggu (3/5), perusahaan menegaskan bahwa data kartu kredit, debit, dan Ovo pengguna tidak terdampak.
Meski demikian, pernyataan Tokopedia dianggap masih kurang oleh ELSAM. Mereka meminta agar perusahaan e-commerce itu memberikan notifikasi tertulis kepada pengguna tentang adanya peretasan dan kebocoran data.
Sesuai Aturan UU
ELSAM mengatakan, notifikasi tersebut mengacu pada ketentuan Pasal 14 ayat (5) PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, yang menyebutkan: “Jika terjadi kegagalan dalam perlindungan terhadap Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut”.
"Berdasarkan pasal tersebut, Tokopedia sebagai Penyelenggara Sistem Elektronik memiliki kewajiban untuk memberikan notifikasi terkait kebocoran data kepada seluruh konsumennya, terutama konsumen terdampak," kata ELSAM.
ELSAM menduga, lambatnya notifikasi dari Tokopedia dimungkinkan oleh keberadaan regulasi lain terkait perlindungan data pribadim. Mengacu pada Pasal 28 Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik, kata mereka, pemberitahuan tertulis ini dapat dilakukan paling lambat 14 hari sejak terjadinya insiden.
"Ini tentunya jauh dari prinsip perlindungan data pribadi, yang menghendaki notifikasi tanpa penundaan (without undue delay), yang dalam RUU Pelindungan Data Pribadi dirumuskan menjadi 3x24 jam," jelas ELSAM. "Kewajiban itikad baik ini merupakan salah satu bentuk prinsip akuntabilitas dari penyelenggaraan pemrosesan data pribadi."
Menurut ELSAM, notifikasi tersebut mestinya mengandung:
Kategorisasi data pribadi apa saja yang bocor
Jumlah subjek data yang terdampak
Informasi kontak petugas perlindungan data pribadi yang dapat dihubungi
Konsekuensi yang mungkin terjadi sebagai dampak dari kebocoran
Langkah-langkah yang telah diambil oleh pengendali data untuk mengatasi kebocoran (termasuk mitigasi kejadian serupa di masa mendatang).
Selain itu, mengacu pada ketentuan Pasal 29 Permenkominfo No. 20/2016, ELSAM menyebut bahwa pemilik data pribadi juga berhak untuk mengajukan pengaduan kepada Menteri, dalam rangka penyelesaian sengketa, atas terjadinya kegagalan dalam perlindungan data pribadi.
Adapun Tokopedia yang dalam kapasitasnya sebagai pengendali data, kata ELSAM, memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya, yang meliputi:
Penerapan pseudonymization dan enkripsi data pribadi
Memberikan jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan
Memiliki kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat (tidak menunda-nunda) dalam hal terjadi insiden fisik atau teknis (i.e. kebocoran data)
Menerapkan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan (termasuk menerapkan Privacy by Design dan Data Protection Impact Assessments (DPIAs)).
kumparanTECH telah meminta tanggapan Tokopedia terkait kritik yang diberikan oleh ELSAM. Namun, platform e-commerce terbesar di Indonesia itu belum memberikan tanggapan.
ELSAM juga menyayangkan ketiadaan aturan mengenai koordinasi antara Penyelenggara Sistem Elektronik (e-commerce) kepada Kementerian atau Lembaga terkait untuk meminimalisir resiko terjadinya kebocoran data bagi pengguna. Menurut mereka, Pasal 24 Ayat (3) PP No. 71/2019 yang mengatur bahwa “Penyelenggara Sistem Elektronik wajib mengamankan Informasi Elektronik dan/atau Dokumen Elektronik dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan Kementerian atau Lembaga terkait” kurang detail perihal koordinasi tersebut.
Berikut poin penting yang diberikan Lembaga Studi dan Advokasi Masyarakat (ELSAM) terkait isu kebocoran data pengguna Tokopedia:
Kementerian Komunikasi dan Informatika segera melakukan proses investigasi, guna mendapatkan data dan informasi lebih lanjut perihal jumlah data penumpang yang terdampak, data apa saja yang bocor, dan langkah-langkah apa saja yang telah diambil oleh pihak penyelenggara platform untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi;
Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, juga Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, untuk mengambil langkah dan tindakan terhadap pengendali data selaku penyelenggara sistem dan transaksi elektronik, juga memastikan pemulihan bagi para pemilik data;
Pemerintah dan DPR untuk segera melakukan proses pembahasan bersama RUU Pelindungan data Pribadi, dengan tetap mempertimbangkan situasi pandemic COVID-19 dan tetap menjamin partisipasi aktif seluruh pemangku kepentingan. Akselerasi proses pembahasan ini penting mengingat banyaknya peristiwa dan insiden terkait dengan eksploitasi data pribadi, di berbagai sektor."
kumparanTECH telah meminta tanggapan Kementerian Komunikasi dan Informatika terkait isu kebocoran data pengguna Tokopedia. Namun, mereka belum memberikan tanggapan.
(Simak panduan lengkap corona di Pusat Informasi Corona)
***
Yuk! Bantu donasi atasi dampak corona.