Dikabarkan Tokopedia diretas dan sebanyak 91 juta data pengguna bocor. Tokopedia mengakui adanya upaya pencurian data oleh hacker pada Sabtu (2/5), walaupun perusahaan mengklaim informasi berharga seperti password dapat dilindungi. Data yang diduga bocor ini bukan cuma sebanyak 15 juta, tetapi mencapai 91 juta data yang kemudian dijual murah di dark web dengan harga 5.000 dolar AS atau sekitar Rp 73,4 juta.
Raid Forums merupakan merupakan forum komunitas hacker di internet yang berisi informasi-informasi terkait dengan database bocoran data, hingga berbagi prank dan komunitas pengolok. Di sini, peretas mencoba untuk meminta bantuan rekan hacker untuk membuka hash dari password akun para pengguna Tokopedia. Dia mengalami kesulitan untuk membuka password.
[postingan number=5 tag=”hacker”]
Dijual Seharga $5000 di Dark Web
Hash adalah sebuah algoritma yang mengubah suatu data informasi berupa huruf, angka, atau simbol menjadi karakter terenkripsi. Fungsi hash biasanya dimanfaatkan untuk menyembunyikan, menyamarkan atau mengacak password asli.
“Sang hacker mengklaim datanya diambil dalam serangan pada Maret 2020 dan (yang dipajang di forum) hanya bagian kecil dari seluruh database user yang diambil dalam hack,” tulis ZDnet.
Hacker Kesulitan Membuka Password yang di Hash
Password akun Tokopedia yang diretas memang masih terlindungi. Menurut Alfons Tanujaya, pengamat keamanan internet dari Vaksincom, password yang bocor tidak terbuka karena dalam bentuk hash yang dienkripsi dan untuk mengetahui kuncinya cukup sulit.
“Password dengan hash itu, yang tidak bisa ditembus hacker, diamankan dengan algoritma hashing SHA2-384, saat ini dianggap aman, meskipun tidak sempurna,” sebut ZDnet.
Data yang ditawarkannya berupa User ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor ponsel dan password tersandi. Ia mengklaim data ini dari peretasan yang terjadi pada 20 Maret 2020.
“Saya memutuskan untuk membagi data bagian dari timbunan data Tokopedia yang diretas Maret 2020 dan akan membagikan 15 juta dari banyak lagi,” tulisnya pada ReidForums, seperti dikutip Senin (4/5/2020).
Sehari kemudian, hacker mengumumkan telah menjual 91 juta data seharga US$5.000 atau setara Rp 75 juta. Ia menjuadlnya di Empire Market, pasar gelap di Dark Web.
Pengakuan Managemen Tokopedia
Manajemen Tokopedia sendiri sudah mengakui Tokopedia diretas akan adanya upaya pencurian data pengguna Tokopedia namun informasi penting seperti password tetap berhasil terlindungi.
“Meskipun password dan informasi krusial pengguna tetap terlindungi di balik enkripsi, kami anjurkan pengguna Tokopedia untuk tetap mengganti password akunnya secara berkala demi keamanan dan kenyamanan,” ujar VP of Corporate Communication Tokopedia, Nuraini Razak.
Nuraini menambahkan Tokopedia menerapkan keamanan berlapis, termasuk dengan OTP yang hanya dapat diakses secara real time oleh pemilik akun. Mereka pun selalu mengedukasi seluruh pengguna untuk tidak memberikan kode OTP kepada siapapun dan untuk alasan apapun.
“Tokopedia memastikan tidak ada kebocoran data pembayaran. Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit dan OVO di Tokopedia tetap terjaga keamanannya,” ujar Nuraini Razak dalam keterangan pers, Minggu (3/5/2020).
Tanggapan Pakar Kemanan Siber
Pakar keamanan siber, Pratama Persadha dari Communication & Information System Security Research Center (CISSReC), mengungkap bahwa peretas data Tokopedia tersebut pertama kali mengumbar hasil retasannya menggunakan nama Whysodank lewat dark web Raid Forums pada Sabtu (2/5). Dia mengumbar 15 juta data pengguna Tokopedia berupa email, username, tanggal lahir, nomor HP, dan hash password.
Raid Forums merupakan merupakan forum komunitas hacker di internet yang berisi informasi-informasi terkait dengan database bocoran data, hingga berbagi prank dan komunitas pengolok. Di sini, peretas mencoba untuk meminta bantuan rekan hacker untuk membuka hash dari password akun para pengguna Tokopedia. Dia mengalami kesulitan untuk membuka password.
Hash adalah sebuah algoritma yang mengubah suatu data informasi berupa huruf, angka, atau simbol menjadi karakter terenkripsi. Fungsi hash biasanya dimanfaatkan untuk menyembunyikan, menyamarkan atau mengacak password asli.
Setelah itu, ada lagi peretas ShinyHunters mem-posting thread penjualan 91 juta akun Tokopedia di forum dark web bernama EmpireMarket.
Akun Twitter Under the Breach @underthebreach, mempublikasikan dua aksi pencurian data Tokopedia itu.
Pratama mengatakan bahwa ia belum bisa mengidentifikasi apakah peretasan ini dilakukan secara perorangan atau berkelompok. Hingga saat ini, CISSReC masih mendalaminya.
Selain itu, Pratama menekankan bahwa meski password muncul dalam bentuk yang belum bisa dimanfaatkan oleh para hacker, namun data pribadi lain yang sudah dibuka bisa disalahgunakan oleh hacker. Misalnya mengirimkan link phising maupun upaya social engineering lain.
“Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan dilakukan adalah takeover akun. Lalu pelaku secara random akan mencoba melakukan take over akun medsos dan marketplace lainnya, karena ada kebiasaan penggunaan password yang sama untuk semua platform,” terang Pratama.
Tindakan Untuk Pengguna Tokopedia
Untuk pengamanan saat ini, user Tokopedia diminta mengganti password dan mengaktifkan two factor authentication. “Dan ingat jangan pernah berikan kode verifikasi di WhatsApp dan SMS pada siapapun sekalipun dia mengaku dari Tokopedia,” cetus Alfons.
Tokopedia sendiri tengah menggelar investigasi. “Saat ini, kami terus melakukan investigasi,” kata VP of Corporate Communications Tokopedia, Nuraini Razak.