Pengamat: 91 Juta Informasi Akun Tokopedia Dijual di Dark Web

ilustrasi smartphone — Ilustrasi. Foto: Unspslah

Jakarta -

Tokopedia sedang terkena isu kebocoran data pengguna, diungkap akun Twitter @underthebreach. Disebutkan peretasan terjadi Maret 2020, mempengaruhi 15 juta pengguna meski hacker mengatakan ada lebih banyak data yang dimiliki. Penelitian dari pengamat sekuriti juga membuka isu lainnya.

"Menurut pantauan Vaksincom, sebenarnya malah ada 91 juta database yang disebarkan di dark web dan berusaha dijual dengan harga 5000 dolar," sebut pengamat keamanan internet dari Vaksincom, Alfons Tanujaya.

"Jadi untuk mendapatkan 91 juta informasi akun Toppers, dinilai dengan USD 5.000. Sebenarnya apa yang terjadi?" sebut Alfons di channel YouTube-nya, kemudian menerangkan temuannya.

SCROLL TO CONTINUE WITH CONTENT

Alfons menyebutkan informasi yang bocor adalah username, alamat email, nama user, tanggal lahir dan nomor telepon.

"Cukup mengkhawatirkan karena ini bisa digunakan untuk rekayasa sosial dengan memalsukan diri sebagai Tokopedia lalu membohongi korbannya, seperti Anda menangkan undian, dapatkan voucher ini, login dari sini. Proses ini yang bertujuan untuk mencuri kredensial username dan password," paparnya.

Untungnya dalam data tersebut, password yang bocor tidak terbuka karena dalam bentuk hash yang dienkripsi dan untuk mengetahui kuncinya cukup sulit. Salah satunya dengan metode brute force, yang bisa terjadi kalau dari Tokopedia tidak memblokir proses tersebut.

"Jadi kalau diblokir, login gagal sekali ditahan dulu misalkan 20 menit, gagal 2 kali tahan 40 menit, gagal 3 kali tahan 1 jam dan seterusnya. Jadi secara teknis sangat sulit kalau ada proteksi brute force," cetus Alfons.

Selain itu menurut tes Vaksincom, jika ada yang tahu username dan password dalam kasus seandainya berhasil dijebol passwordnya, sudah ada proteksi otomatis two factor authentication di Tokopedia. Untuk pengamanan ini, pengguna yang mengaktifkannya diminta memilih verifikasi ke WhatsApp atau SMS.

"Jika kita klik WhatsApp, maka akan dikirim verifikasi ke WhatsApp dengan catatan memang user yang login ke perangkat baru. Jika Anda tidak pernah login dari perangkat baru mendadak di WhatsApp Anda muncul verifikasi Tokopedia atau SMS Anda muncul verifikasi Tokped, artinya kredensial anda sudah bocor dan Anda harus segera mengganti kredensial Anda," begitu tipsnya.

"Dan ingat jangan pernah berikan kode verifikasi di WhatsApp dan SMS pada siapapun sekalipun dia mengaku dari Tokopedia," pungkas Alfons.

Berkaitan dengan isu ini, Tokopedia telah mengakui menemukan adanya upaya pencurian data terhadap pengguna. Namun mereka memastikan informasi penting pengguna, seperti password, tetap berhasil terlindungi.

"Meskipun password dan informasi krusial pengguna tetap terlindungi di balik enkripsi, kami menganjurkan pengguna Tokopedia untuk tetap mengganti password akunnya secara berkala demi keamanan dan kenyamanan," ujar Nuraini.

Tokopedia disebutkan turut menerapkan keamanan berlapis, termasuk dengan OTP yang hanya dapat diakses secara real time oleh pemilik akun. Karena itu mereka kerap mewanti-wanti pengguna untuk tidak memberikan kode OTP kepada siapapun dan untuk alasan apapun.

"Saat ini, kami terus melakukan investigasi dan belum ada informasi lebih lanjut yang dapat kami sampaikan," pungkas Nuraini.

Halaman 1 2

Selanjutnya