YLKI Minta Tokopedia Jelaskan Pencurian Data, Pemerintah Harus Turun Tangan
PerbesarADVERTISEMENT
kumparan Hadir di WhatsApp Channel
Follow
Kebocoran 15 juta data pengguna Tokopedia pada Maret 2020 membuat Yayasan Lembaga Konsumen Indonesia (YLKI) angkat bicara.
ADVERTISEMENT
Menurut Tulus Abadi, Ketua Pengurus Harian YLKI, pihaknya menduga bahwa sistem keamanan siber Tokopedia tidak cukup andal dalam menahan percobaan peretasan. Hal ini membuat data pengguna jadi dapat diambil alih oleh hacker.
Tulus juga meminta agar Tokopedia memberikan klarifikasi terkait sistem keamanan yang mereka terapkan. Dia mempertanyakan berapa lapis sistem keamanan yang diterapkan oleh perusahaan e-commerce itu.
YLKI juga meminta penjelasan apakah data pengguna Tokopedia yang bocor digaransi atau tidak. Mereka juga meminta agar pemerintah turun tangan mengatasi kasus peretasan ini.
Berikut pernyataan lengkap YLKI terkait isu kebocoran data pengguna Tokopedia
ADVERTISEMENT
Keamanan data pengguna di Tokopedia
Menurut ahli keamanan siber dari Vaksincom, Alfons Tanujaya, Tokopedia sebenarnya telah menerapkan sistem keamanan tingkat tinggi untuk memproteksi data krusial pengguna, yakni password.
Alfons menjelaskan, Tokopedia menggunakan teknik hashing atau enkripsi password untuk menyamarkan password asli pengguna. Menurutnya, teknik password hash tersebut sukar untuk dibongkar oleh hacker , kecuali jika pelaku memiliki kemampuan dan sumber daya yang cukup untuk meretas password hash tersebut.
Senada dengan Alfons, CEO sekaligus Chief Digital Forensic Indonesia, Ruby Alamsyah, juga menyebut bahwa password hashing yang diterapkan oleh Tokopedia sukar diretas oleh hacker biasa.
Meski demikian, Ruby mempertanyakan mengapa Tokopedia hanya mengamankan password pengguna. Sebabnya, data pengguna yang bocor tersebut juga mengandung informasi data pribadi penting lain seperti alamat e-mail, nomor telepon, nama, dan lokasi pengguna.
ADVERTISEMENT
Ruby menjelaskan, Tokopedia mestinya bisa mengamankan seluruh data pribadi pengguna, dan bukan hanya password. Menurutnya, kebijakan keamanan data Tokopedia yang ada saat ini bisa menimbulkan persepsi publik bahwa perusahaan hanya berfokus mengamankan password semata, dan bukan informasi data pribadi penting lainnya.
Senada dengan Ruby, Alfons juga menganggap bahwa Tokopedia mestinya mengamankan data pengguna lain.
"Bagus juga kalau data lain bisa di-hash. Seperti alamat email dan data lain yang penting seperti nomor HP," kata Alfons. "Tetapi hal ini juga berhubungan dengan metode kerja program di Tokopedia, kalau programnya membutuhkan data dalam bentuk tidak terenkripsi maka akan kesulitan jika semua data di hash," sambungnya.
Ahli ungkap kronologi kebocoran data pengguna Tokopedia
Adapun menurut chairman dari Communication and Information System Security Research Center (CISSReC), Pratama Persadha, ada 91 juta data pengguna Tokopedia yang sedang berusaha dijual oleh hacker di situs EmpireMarket.
ADVERTISEMENT
Temuan Pratama tersebut mengonfirmasi laporan Under the Breach (@underthebreach), sebuah akun Twitter yang berfokus pada aktivitas kebocoran data dan hacker, yang pada Minggu (3/5) menyebut bahwa pelaku tengah mencoba menjual 91 juta data pengguna Tokopedia di situs Raid Forums.
"Akibat peretasan Tokopedia ini bisa menjalar ke akun media sosial dan platform lainnya bila menggunakan email dan password yang sama. Terutama bagi admin akun medsos pemerintah dan lembaga harus cepat melakukan pengamanan akun sebagai langkah antisipasi,” kata Pratama, dalam sebuah keterangan pers yang diterima kumparan, Minggu (3/5).
Pratama menjelaskan hacker dengan nama akun Whysodank pertama kali mempublikasikan hasil peretasan di sebuah forum khusus informasi kebocoran data pada Sabtu (2/5). Kemudian hacker dengan nama akun ShinyHunters memposting thread penjualan 91 juta akun Tokopedia di situs EmpireMarket.
ADVERTISEMENT
Menurut penjelasan Pratama, dari sinilah akun @underthebreach mempublikasikan peretasan Tokopedia ke publik Twitter.
Menurut penyelidikan CISSReC, hacker menjual data berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone dan password yang masih ter-hash atau tersandi. Semua dijual dengan harga 5.000 dolar AS atau sekitar Rp 74 juta.
CISSReC juga memprediksi 91 juta data pengguna tersebut merepresentasikan keseluruhan pengguna Tokopedia. Menurut catatan mereka, pada 2019 Tokopedia melaporkan bahwa pengguna mereka telah mencapai 91 juta orang.
Adapun data kartu kredit maupun debet belum ditemukan dalam data yang disebar pelaku, menurut Pratama.
Tanggapan Tokopedia
Tokopedia sendiri telah mengakui adanya upaya pencurian data pengguna mereka. Hingga saat ini, perusahaan sedang menginvestigasi laporan kebocoran data pribadi pengguna ini.
ADVERTISEMENT
Adapun Tokopedia memastikan bahwa tidak ada kebocoran data pembayaran dalam kasus ini."
Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit dan OVO, di Tokopedia tetap terjaga keamanannya," kata VP of Corporate Communications Tokopedia, Nuraini Razak, Minggu (3/5).