Akun Toko Online Diretas, Pedagang Tokopedia Rugi Rp 118 Juta
PerbesarADVERTISEMENT
Salah seorang pedagang di Tokopedia baru-baru ini mengungkap dirinya menjadi korban peretasan berbasis nomor WhatsApp. Aksi peretasan ini mengakibatkan toko online itu rugi Rp 118 juta.
ADVERTISEMENT
Kasus ini diceritakan di Kaskus pada Sabtu, 23 November 2019, oleh akun bernama Grenpeel. Orang yang mengunggah cerita itu mengaku sebagai salah satu karyawan Grenpeel Store, sebuah toko online penjual gadget yang berbasis di Jakarta Pusat. Dalam utas yang dia buat di forum komunitas tersebut, dia merinci kronologi kejadian peretasan.
Kejadian ini bermula pada Rabu, 20 Oktober 2019, ketika dia ditelepon oleh seseorang yang mengaku sebagai operator Tokopedia . Sejak awal, dia dan supervisor-nya sudah curiga dengan si penelepon, dan memutuskan untuk tidak melanjutkan pembicaraan di telepon.
Beberapa saat kemudian, dia ditelepon kembali. Setelah telepon kedua inilah dia kemudian mendapatkan bahwa akun WhatsApp dan akun Tokopedia Grenpeel telah ter-log out dan tidak bisa log-in kembali karena password telah berubah.
Mereka tiba-tiba mendapatkan kode one time password (OTP) baru yang dikirimkan via WhatsApp ke ponselnya. Anehnya, kode OTP ini menggunakan bahasa Italia, dan bukan bahasa Indonesia maupun Inggris seperti biasanya.
ADVERTISEMENT
Keanehan tidak berhenti sampai situ. Saat tim Grenpeel berhasil masuk kembali ke akun Tokopedia miliknya, dia mendapati bahwa saldo yang ada telah terkuras sebanyak Rp 118 juta.
Dari catatan yang ditunjukkan oleh karyawan Grenpeel, terjadi dua kali transfer dana masing-masing senilai Rp 50 juta dan Rp 68 juta, ke rekening BNI atas nama Yopi Chandra.
Grenpeel segera melaporkan kejadian ini ke bank BNI dan kepolisian.
Kepada kumparan, tim Grenpeel mengaku tak pernah memberikan kode OTP sebagai syarat untuk log-in ke akun toko online Tokopedia. Mereka menyayangkan pihak Tokopedia yang dinilai kurang kooperatif dalam menangani kasus ini.
Tokopedia, selaku platform e-commerce marketplace terbesar di Indonesia, telah berbagi pernyataan kepada kumparan terkait kasus ini. Menurut Nuraini Razak, selaku VP of Corporate Communications Tokopedia, pihaknya sedang menyelidiki kasus peretasan tersebut.
ADVERTISEMENT
“Kami sedang melakukan investigasi lebih lanjut terkait kasus ini. Tokopedia juga selalu mengimbau seluruh pengguna untuk menaati peraturan penggunaan platform maupun hukum yang berlaku di Indonesia dalam bertransaksi, demi keamanan dan kenyamanan bersama,” ungkap Nuraini Razak, Senin (25/11).
Bisakah akun WhatsApp diretas tanpa eksploitasi kode OTP?
Karyawan Grenpeel mengklaim bahwa akun toko online Grenpeel Store di Tokopedia diretas tanpa ia memberikan kode OTP ke hacker. Namun, menurut seorang ahli keamanan siber, Alfons Tanujaya, hal tersebut seharusnya tidak dapat dilakukan. Peretasan ke akun Tokopedia Grenpeel Store bisa saja terjadi jikalau hacker telah mengambil alih akun WhatsApp milik karyawan Grenpeel itu.
Aksi peretasan juga dimungkinkan karena pengguna tak menyadari bahwa dia telah memberikan kode akses OTP miliknya. Kecerobohan semacam ini sering dia temui di dalam kasus peretasan yang dia tangani.
ADVERTISEMENT
“Ada dua kemungkinan. Pertama, dia berhasil dikelabui untuk memberikan OTP dengan berbagai macam trik, misalnya penipu mengaku dari Tokopedia. Kedua, perangkat TFA/OTP diambilalih. Misalnya, SIM card (prepaid) yang sudah hangus atau akun WhatsApp yang berhasil diambilalih dan OTP dikirim ke WhatsApp”, sambungnya.
Alfons tak sepenuhnya membebankan kesalahan pada korban. Dia menyebut bahwa penyedia platform juga perlu menyempurnakan sistem dan prosedur mereka agar dana penjual lebih sulit diambil alih.
Untuk mencegah kasus yang sama terulang kembali, Alfons menyarankan perlunya sistem deferred funding (dana tangguhan). Dengan sistem ini, perpindahan dana harus menunggu minimal 2 hari kerja, sehingga jika terjadi kasus macam ini, ada waktu kepada pemilik akun yang diambilalih untuk melakukan tindakan pencegahan dan dana tidak keburu diambil dan dipindahkan oleh pelaku kejahatan.
ADVERTISEMENT
Terlepas dari itu semua, aparat penegak hukum seharusnya dapat memburu siapa pelaku kejahatan siber ini. Rekening BNI atas naman Yopi Chandra dapat ditelusuri lebih dalam. Ke mana saja ia mentransfer dana dan di mana saja pelaku kejahatan menarik uangnya. Jejak digital aksi penipuan ini pasti terekam dan dapat ditelusuri sampai tuntas.
