Situs belanja online tokopedia mengalami insiden keamanan. Dilaporkan bahwa data dari 91 juta pengguna dan 7 juta pelapak telah tercuri dan saat ini ditawarkan di pasar gelap internet. Pada tahun 2019, tokopedia menyatakan bahwa mereka memiliki 91 juta pengguna terdaftar.
Kejadian ini terbongkar ke ranah publik melalui akun twitter @underthebreach, yang menyebut dirinya sebagai sebuah layanan dari israel yang berfokus pada pemantauan dan pencegahan kebocoran data.
Seorang peretas yang menggunakan nama whysodank menawarkan data pribadi 15 juta pengguna tokopedia di forum internet bernama raidforums. Peretas ini membagikan sampel data untuk mendapatkan bantuan dalam mendekripsi password yang masih terenkripsi.
Data yang ditawarkan termasuk identitas pengguna, alamat email, nama lengkap, tanggal lahir, jenis kelamin, nomor telepon dan password yang telah dienkripsi. Peretas tersebut menyatakan bahwa data ini diperoleh dari insiden keamanan yang terjadi pada tanggal 20 Maret 2020.
“Dengan ini saya berbagi sebagian dari kumpulan data tokopedia yang diretas pada Maret 2020 dan saya akan merilis 15 juta dari jumlah yang lebih banyak lagi,” demikian pernyataannya di raidforums yang dirilis pada hari Senin, tanggal 4 Mei 2020.
Pada hari berikutnya, peretas tersebut mengumumkan penjualan 91 juta data pengguna dengan harga US$5.000, atau sekitar Rp 75 juta, yang dilakukan di empire market, sebuah pasar gelap di dark web.
Manajemen tokopedia telah mengkonfirmasi adanya percobaan pencurian data penggunanya. Namun, mereka memastikan bahwa data sensitif seperti password masih aman karena dienkripsi.
“Kami menyarankan pengguna untuk rutin mengganti password mereka sebagai langkah keamanan meskipun password dan informasi penting lainnya telah dienkripsi,” kata vp of corporate communication tokopedia, Nuraini Razak.
Nuraini juga menekankan bahwa tokopedia telah menerapkan sistem keamanan yang kuat, termasuk penggunaan otp yang hanya bisa digunakan oleh pemilik akun secara langsung. Tokopedia terus mengedukasi penggunanya untuk tidak membagikan kode otp kepada orang lain, untuk alasan apapun.
“Kami menjamin bahwa tidak terjadi kebocoran data pembayaran. Keamanan transaksi menggunakan berbagai metode pembayaran, seperti kartu debit, kartu kredit dan ovo, di platform tokopedia tetap terjaga,” jelas Nuraini dalam siaran pers yang dirilis pada hari Minggu, tanggal 3 Mei 2020.
Menanggapi insiden kebocoran data, menteri komunikasi dan informatika, Johnny Gerard Plate, telah menginstruksikan tokopedia untuk melakukan pemeriksaan internal.
Tindakan ini bertujuan untuk mengkonfirmasi kecurigaan pelanggaran data di platform e-commerce tersebut dan untuk mengambil tindakan yang diperlukan untuk melindungi data para pengguna.
“Sudah dilakukan komunikasi dan koordinasi dengan pihak tokopedia. Tim teknis dari kominfo juga telah mengadakan koordinasi teknis untuk mengatasi masalah kebocoran data pengguna,” kata Johnny di Jakarta, Minggu (03/05/2020), sebagaimana diungkapkan dalam rilis pers dari kementerian kominfo.
Johnny menjelaskan bahwa kemenkominfo telah mengarahkan tokopedia untuk melaksanakan tiga tindakan penting demi keamanan data pengguna.
“Pertama, tokopedia harus secepatnya mengamankan sistem mereka untuk mencegah penyebaran lebih lanjut dari kebocoran data. Kedua, harus menginformasikan kepada pengguna yang akun pribadinya berpotensi terpengaruh. Dan ketiga, harus melakukan pemeriksaan internal untuk memverifikasi adanya kecurigaan kebocoran data dan jika memang telah terjadi, untuk mengetahui apa penyebab dari kebocoran tersebut,” terangnya.
Sekretaris jenderal dari partai nasional demokrat sudah mengajukan permintaan untuk menerima laporan yang berkaitan dengan notifikasi kecurigaan adanya kebocoran informasi pribadi kepada pengguna, langkah-langkah keamanan yang telah dilaksanakan, serta kemungkinan efek dari pelanggaran data terhadap pemilik data tersebut.
“Kami tengah menantikan penyelesaian laporan itu,” ucapnya.
Sebagai penyelenggara sistem elektronik (PSE), tokopedia diwajibkan untuk mematuhi standar perlindungan data pribadi yang telah diatur dalam pp nomor 71 tahun 2019 serta peraturan dari menkominfo nomor 20 tahun 2016.
“Tokopedia telah menginformasikan bahwa sistem proteksi mereka telah mengadopsi teknik penyimpanan kata sandi dengan metode hash.
Tokopedia juga telah mengimplementasikan penggunaan otp sebagai langkah verifikasi dua faktor, yang mengharuskan pengguna untuk memasukkan kode yang dihasilkan secara langsung tiap kali login,” terang Johnny.
Kementerian Komunikasi dan Informatika turut menyarankan agar warga selalu menjaga keamanan akun pribadi mereka.
“Sebaiknya masyarakat rutin melakukan pergantian kata sandi dan tidak serta merta mempercayai pihak yang meminta kata sandi atau kode otp. Oleh karena itu, jika ada yang meminta kata sandi atau otp, bisa dipastikan itu adalah usaha penipuan,” tutur Johnny.
“Belakangan ini banyak kejahatan siber menggunakan teknik phising. Kita harus memverifikasi kebenaran alamat email pengirim sebelum mengklik link yang diterima melalui email. Ini bisa dilakukan dengan membaca alamat email dari belakang ke depan,” tambahnya.
Selanjutnya, Johnny mengungkapkan bahwa kemenkominfo berencana untuk memanggil jajaran direksi tokopedia.
“Menanggapi masalah ini, saya sudah memerintahkan dirjen Aptika untuk mengundang direksi tokopedia supaya memberikan klarifikasi mengenai masalah ini. Pertemuan tersebut dijadwalkan akan berlangsung pada hari Senin, tanggal 4 Mei,” pungkasnya.