Menerapkan sistem keamanan berstandar tinggi adalah hal yang tak bisa ditawar bagi platform besar seperti Tokopedia. Tapi ketika 91 juta data pengguna Tokopedia bocor seperti yang terjadi sekarang, apakah artinya lapisan keamanannya belum maksimal?

"Walau kita gak bisa menyalahkan (Tokopedia) 100%, karena udah confirm secara teori oleh semua pakar security dunia memang tidak ada sistem yang 100% aman. Tapi yang bisa dilakukan adalah monitoring dan selalu update sistem keamanan secara optimal," kata pakar keamanan cyber Ruby Alamsyah.

Dengan sistem keamanan berstandar tinggi dan berlapis, menurut Ruby, ketika terjadi peretasan, insiden tersebut bisa langsung diketahui dan pemilik platform bisa memitigasi risiko yang terjadi.

"Kalau bisa tahu insiden ini lebih cepat, bisa meminimalkan. Mungkin data yang bocor bisa lebih sedikit. Atau mungkin sebelum viral di internet, pemilik platform bisa minta pengguna ganti password. Memang gak bisa zero accident, tapi bisa meminimalkan dan mitigasi dengan meminimalkan risiko yang terjadi," urai Ruby.

Dari sisi pengguna, kita memang tidak bisa melihat apakah sebuah platform sudah menerapkan standar keamanan tinggi atau belum. Tapi paling tidak, pengguna bisa melihatnya dari kompleksitas keamanannya.

"Misalnya dari kompleksitas permintaan untuk password-nya apakah harus disertai kombinasi huruf, angka atau karakter, berarti memang dia mau mengamankan platformnya. Lalu pakai 2FA (two factor authentication), OTP (one time password) access dan lapisan keamanan lainnya," jelas founder dan CEO Digital Forensic tersebut.

Itu dari sisi pengguna. Bagaimana dari sisi pemilik platform? Seperti yang sudah disebutkan, kita tidak bisa mengetahui bagaimana cara mereka mengamankan data-data kita.

"Kalau di back end server mereka, database mereka, menyimpannya harus secure. Penyimpanan dan teknik enkripsi juga perlu diamankan. Itu pengguna ga bisa lihat. Kalau sudah kejadian data bocor kaya gini, baru kita tahu kalau Tokopedia hanya mengenkripsi password," terangnya.

Dari kasus ini, Ruby menilai lapisan keamanan Tokopedia belum maksimal. Meskipun sudah mengenkripsi password, masih diperlukan teknik lain agar data lain milik pengguna tidak mudah dicuri peretas bahkan disebar dan bisa didownload secara bebas.

"Sangat penting menggunakan teknik keamanan tambahan lain dan tidak hanya bergantung pada satu teknik pengamanan saja, hanya enkripsi password itu tadi," ujarnya.

Meski password tidak bisa diakses, dengan berbekal informasi data lain yang bocor berupa nama lengkap, nama akun, email, tanggal lahir, dan nomor ponsel, pelaku kejahatan bisa menggunakannya untuk peretasan lain dan social engineering.

"Intinya, dengan data lain yang didapat, walaupun tanpa password yang bisa dibaca, itu sebuah kerentanan nyata buat pengguna karena bisa dipakai untuk yang lain-lain," jelasnya.

Ruby juga mengingatkan bahwa keamanan tidak selalu berbanding lurus dengan kenyamanan. Semakin ribet dan berlapis keamanannya, maka akan lebih aman.

"Enkripsi email dan lain-lain selain password itu akan lebih lama prosesnya, tingkat keamanannya tinggi, tapi sebanding dengan keamanannya," kata Ruby.

Sebelumnya, VP of Corporate Communication Tokopedia Nuraini Razak mengatakan, mereka sudah menyadari ada pihak ketiga yang memposting informasi data pengguna mereka di media sosial dan forum internet. Data yang diposting itu menurut Nuraini adalah data pelanggan mereka yang dicuri pada Mei lalu.

"Kami menyadari bahwa pihak ketiga yang tidak berwenang telah memposting informasi secara ilegal di media sosial dan forum internet terkait cara mengakses data pelanggan kami yang telah dicuri," kata dia.

Tokopedia sudah melaporkan hal ini ke polisi dan mengingatkan semua pihak untuk menghapus semua informasi yang memfasilitasi akses ke data hasil curian tersebut. Ia juga memastikan kalau password pengguna Tokopedia tetap terjaga enkripsi.