91 Juta Akun Tokopedia Bocor: Dijual Rp74 Juta di Forum Darkweb

Pada Minggu (3/5) kemarin Whysodank mengumumkan telah menjual seluruh 91 juta data pengguna Tokopedia di forum darkweb bernama EmpireMarket. Di situs itu, Whysodank menggunakan nama akun ShinyHunters. Data terbaru dari peretas tersebut mematahkan klaim data peretasan sebelumnya yang menyebut hanya ada 15 juta akun.

Bak gayung bersambut, situs Hackread kemudian mengunggah peretasan 91 juta akun Tokopedia tersebut dan mengungkapkan bahwa akun-akun yang bocor itu dijual dengan harga Rp74 juta.

Pada Minggu (3/5) siang, Tokopedia mengklaim telah memeriksa dan mengkonfirmasi bahwa data pembayaran pengguna yang berupa kartu debit, credit card (CC), rekening dan OVO aman. "Tidak ada kebocoran data pembayaran.

Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit dan OVO, di Tokopedia tetap terjaga keamanannya," tegas Nuraini kepada wartawan, Minggu (3/5).

• PAN Gelar Rakernas Online

Pakar keamanan siber Pratama Persadha mengatakan data untuk password akun Tokopedia masih dienkripsi, namun tinggal menunggu waktu sampai ada pihak yang bisa membuka. Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password.

Menurut Pratama, meski password masih dalam bentuk acak, namun data lain sudah plain alias terbuka. Artinya semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet.

Misalnya mengirimkan link phising maupun upaya social engineering lainnya. Karena itu seharusnya Tokopedia melakukan update dan informasi kepada seluruh penggunanya segera.

"Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan dilakukan adalah takeover akun. Lalu pelaku secara random akan mencoba melakukan take over akun medsos dan marketplace lainnya, karena ada kebiasaan penggunaan password yang sama untuk semua platform," terang Pratama.

Pratama menggarisbawahi yang bisa dilakukan pengguna Tokopedia adalah mengganti password dan mengaktifkan OTP (one time password) lewat SMS. Lalu mengganti semua password dari akun medsos dan platform marketplace selain tokopedia.

"Akibat peretasan Tokopedia ini bisa menjalar ke akun media sosial dan platform lainnya bila menggunakan email dan password yang sama. Terutama bagi admin akun medsos pemerintah dan lembaga harus cepat melakukan pengamanan akun sebagai langkah antisipasi," jelasnya.

Ditambahkan Pratama, saat mendapatkan sampel data dari forum, belum ada data kartu kredit maupun debet yang disebar pelaku. Harapannya data kartu tidak ikut menjadi salah satu yang berhasil diretas. "Pihak Tokopedia harus bertanggungjawab atas kejadian ini karena data penggunanya diambil dan diperjualbelikan.

Pihak Tokopedia wajib secara berulang-ulang, dengan menggunakan segala sarana media yang ada, mensosialisasikan apa saja yang harus dilakukan oleh para penggunanya, seperti ganti password akun dan mengaktifkan OTP, sampai semua penggunanya menyadari kebocoran ini dan mau mengganti password-nya," terang Pratama.

Kejadian ini bukan yang pertama kali di tanah air. Sebelumnya Bukalapak juga mengalami hal serupa. Seharusnya ini menjadi peringatan keras pada setiap penyedia layanan di internet yang memakai banyak data masyarakat dalam kegiatannya.

Penetration test harus sesering mungkin dilakukan untuk mengetahui dimana saja letak celah keamanan. Situs marketplace akan selalu menjadi sasaran para peretas karena banyak menghimpun data masyarakat, terutama kartu kredit, kartu debit dan dompet digital.

"Perkuat pengamanan sistemnya, investasi lebih banyak untuk cyber security. Penggunaan enkripsi harus merata terhadap semua data yang berhubungan dengan user, jangan hanya password seperti saat ini," jelas Pratama. (tribun network/kps/dod)