JAKARTA, solotrust.com - Tokopedia dilaporkan mengalami peretasan, seperti dalam cuitan akun Twitter @underthebreach. Bahkan, jumlahnya diperkirakan mencapai 91 juta akun dan7 juta akun merchant, tidak lagi 15 juta seperti dikabarkan sebelumnya.
Padahal pada 2019, Tokopedia menginformasikan ada sekira 91 jutaakun aktif di platformnya. Artinya, hampir semua akun di Tokopedia berhasil diambil datanya oleh peretas.
Pelaku menjual data di darkweb berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone dan password yang masih ter-hash atau tersandi. Semua dijual dengan harga US$5000 atau sekira Rp74 juta. Bahkan, ada 14.999.896 akun Tokopedia yang datanya saat ini bisa di-download.
Dalam keterangannya Minggu (03/05/2020), pakar keamanan siber, Pratama Persadha, menjelaskan kejadian seperti ini harus cepat direspons pihak Tokopedia dan juga para penggunanya, mengingat ancaman penipuan dan pengambilalihan akun bisa terjadi kapan saja.
Pratama menjelaskan, peretas Whysodank kali pertama mempublikasikan hasil peretasan di raid forum pada Sabtu (02/05/2020). Kemudian peretas ShinyHunters memposting thread penjualan 91 juta akun Tokopedia di forum darkweb bernama EmpireMarket. Dari sinilah, akun @underthebreach mempublikasikan peretasan Tokopedia ke publik Twitter.
“Memang data untuk password masih dienkripsi, namun tinggal menunggu waktu sampai ada pihak yang bisa membuka. Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password,” jelas chairman Lembaga Riset Siber Indonesia CISSReC (Communication & Information System Security Research Center) ini dalam keterangan tertulisnya.
Ditambahkan Pratama Persadha, meski password masih dalam bentuk acak, namun data lain sudah plain alias terbuka. Artinya semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet. Misalnya mengirimkan link phising maupun upaya socialengineering lainnya. Karena itu, seharusnya Tokopedia melakukan pembaruan dan informasi kepada seluruh penggunanya segera.
“Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan dilakukan adalah take over akun. Lalu, pelaku secara random(acak-red) akan mencoba melakukan take over akun medsos (media sosial) dan marketplace lainnya karena ada kebiasaan penggunaan password yang sama untuk semua platform,” terang pria asal Cepu Jawa Tengah ini.
Pratama Persadha menggarisbawahi yang bisa dilakukan pengguna Tokopedia adalah mengganti password dan mengaktifkan OTP (one time password) lewat SMS. Lalu mengganti semua password dari akun medsos dan platform marketplace selain Tokopedia.
“Akibat peretasan Tokopedia ini bisa menjalar ke akun media sosial dan platform lainnya bila menggunakan email dan password yang sama. Terutama bagi admin akun medsos pemerintah dan lembaga harus cepat melakukan pengamanan akun sebagai langkah antisipasi,” jelasnya.
Ditambahkan Pratama Persadha, saat mendapatkan sampel data dari forum, belum adadata kartu kredit maupun debet yang disebar pelaku. Harapannya data kartu tidak ikut menjadi salah satu yang berhasil diretas.
“Pihak Tokopedia harus bertanggungjawab atas kejadian ini karena data penggunanya diambil dan diperjualbelikan. Pihak Tokopedia wajib secara berulang-ulang dengan menggunakan segala sarana media yang ada, menyosialisasikan apa saja yang harus dilakukan oleh para penggunanya,seperti ganti password akun dan mengaktifkan OTP, sampai semua penggunanya menyadari kebocoran ini dan mau mengganti password-nya” seru dia.
(redaksi)
