POPNEWS.ID - Masih ingat kasus data pengguna e-Commerce Tokopedia diretas hacker. 

Ya, kasus ini terjadi pada 2020 lalu.

91 juta data akun pengguna dan 7 juta akun merchant dikabarkan bocor dan dijual di Dark Web. 

Pada 2019, Tokopedia mengklaim memiliki 91 juta pengguna.

Kasus ini terungkap ke publik oleh akun twitter @underthebreach yang mengklaim dirinya sebagai layanan pengawasan dan pencengahan kebocoroan data asal Israel.

Awalnya peretas dengan nama akun Whysodank menawarkan 15 juta data akun pengguna Tokopedia di forum RaidForums. 

Hacker berbagi data untuk meminta bantuan peretas lain membuka kunci algoritma password akun tersebut karena masih di-hash.

Data yang ditawarkannya berupa User ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor ponsel dan password tersandi. 

Ia mengklaim data ini dari peretasan yang terjadi pada 20 Maret 2020.

"Saya memutuskan untuk membagi data bagian dari timbunan data Tokpedia [yang diretas] Maret 2020 dan akan membagikan 15 juta dari banyak lagi," tulisnya pada ReidForums, seperti dikutip Senin (4/5/2020).

Sehari kemudian, hacker mengumumkan telah menjual 91 juta data seharga US$5.000 atau setara Rp 75 juta. 

Ia menjuadlnya di Empire Market, pasar gelap di Dark Web.

Manajemen Tokopedia sendiri sudah mengakui akan adanya upaya pencurian data pengguna Tokopedia namun informasi penting seperti password tetap berhasil terlindungi.

"Meskipun password dan informasi krusial pengguna tetap terlindungi di balik enkripsi, kami anjurkan pengguna Tokopedia untuk tetap mengganti password akunnya secara berkala demi keamanan dan kenyamanan," ujar VP of Corporate Communication Tokopedia, Nuraini Razak.

Nuraini menambahkan Tokopedia menerapkan keamanan berlapis.

Termasuk dengan OTP yang hanya dapat diakses secara real time oleh pemilik akun. 

Mereka pun selalu mengedukasi seluruh pengguna untuk tidak memberikan kode OTP kepada siapapun dan untuk alasan apapun.

"Tokopedia memastikan tidak ada kebocoran data pembayaran. 

Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit dan OVO di Tokopedia tetap terjaga keamanannya," ujar Nuraini Razak dalam keterangan pers, Minggu (3/5/2020).

Atas kebocoran data ini, enteri Komunikasi dan Informatika kala itu, Johnny Gerard Plate telah telah meminta pengelola platform digital Tokopedia melakukan investigasi internal. 

Hal itu ditujukan untuk memastikan dugaan data breach pada platform marketplace itu dan mengambil langkah-langkah yang diperlukan guna menjamin keamanan data pengguna.

"Kami sudah bersurat dan berkordinasi dengan Tokopedia. Tim teknis Kominfo sudah melakukan koordinasi teknis untuk menindaklanjuti adanya isu pembobolan data pengguna," ujar Johnny di Jakarta, Minggu (03/05/2020), seperti dikutip dari siaran pers Kemenkominfo.

Johnny menyatakan Kemenkominfo telah meminta Tokopedia melakukan tiga hal untuk menjamin keamanan data pengguna.

"Hal pertama yang harus dilakukan Tokopedia segera melakukan pengamanan sistem untuk mencegah meluasnya data breach. 

Kedua, memberitahu pemilik akun yang kemungkinan data pribadinya terekspos. 

Dan ketiga, melakukan investigasi internal untuk memastikan dugaan data breach serta apabila telah terjadi, mencari tahu penyebab data breach tersebut," paparnya.

Johnny pun telah meminta laporan tentang pemberitahuan dugaan kebocoran data kepada pemilik akun, tindakan pengamanan sistem yang diakukan, serta potensi dampak data breach kepada pemilik data.

"Kami, masih menunggu laporan tersebut selesai dibuat," tuturnya.

Tokopedia sebagai Penyelenggara Sistem Elektronik (PSE) memiliki kewajiban memenuhi Standar Pelindungan Data Pribadi yang dimuat dalam PP Nomor 71 Tahun 2019 dan Peraturan Menkominfo Nomor 20 Tahun 2016.

"Tokopedia menyampaikan bahwa sistem pengamanan mereka menggunakan password yang disimpan dalam bentuk hash. 

Selain itu, Tokopedia juga telah menggunakan fitur OTP sebagai two factors authentication sehingga user selalu diminta memasukkan kode yang baru secara real-time setiap melakukan login," kata Johnny.

Kemenkominfo juga mengimbau masyarakat tetap menjaga keamanan akun masing-masing.

"Masyarakat sebaiknya rutin mengganti password dan tidak mudah percaya dengan pihak lain yang meminta password maupun kode OTP. 

Jadi kalo ada permintaan password atau OTP dari perseorangan, sudah dipastikan itu penipuan," ujar Johnny.

"Saat ini banyak penipuan mengunakan phising. Sebelum kita mengklik tautan yg kita terima lewat email, pastikan keaslian alamat email pengirim. Cara membaca alamat email dari belakang ke depan," lanjutnya.

Lebih lanjut, Johnny menyatakan Kemenkominfo akan memanggil direksi Tokopedia.

"Terkait permasalahan ini, saya telah meminta Dirjen Aptika untuk memanggil Direksi Tokopedia agar memberikan penjelasan terkait hal ini. Pertemuan akan dilakukan Senin, tanggal 4 Mei," ungkapnya. (*)