Liputan6.com, Jakarta - Pakar keamanan siber, Pratama Persadha, mengungkapkan kasus peretasan puluhan juta data pengguna Tokopedia harus cepat direspons baik oleh perusahaan bersangkutan, maupun para penggunanya. Hal ini karena ancaman penipuan dan pengambilalihan akun bisa terjadi kapan saja.
Pratama menjelaskan peretas Whysodank pertama kali mempublikasikan hasil peretasan di raid forum pada Sabtu (2/5/2020). Kemudian peretas ShinyHunters mengunggah utas penjualan 91 juta akun Tokopedia di forum Dark Web bernama EmpireMarket. Kemudian, akun @underthebreach mempublikasikan peretasan Tokopedia di Twitter.
Advertisement
Baca Juga
"Memang data untuk password masih dienkripsi, namun tinggal menunggu waktu sampai ada pihak yang bisa membuka. Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password," ujar chairman Lembaga Riset Siber Indonesia CISSReC (Communication & Information System Security Research Center) tersebut.
Ditambahkan Pratama, meski password masih dalam bentuk acak, tapi data lain sudah plain alias terbuka. Artinya semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet.
Misalnya mengirimkan tautan phising maupun upaya social engineering lainnya, karena itu seharusnya Tokopedia melakukan pembaruan dan menginformasikan kepada seluruh penggunanya segera.
"Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan dilakukan adalah takeover akun. Lalu pelaku secara random akan mencoba melakukan take over akun medsos dan marketplace lainnya, karena ada kebiasaan penggunaan password yang sama untuk semua platform," ungkap Pratama.
Langkah Keamanan
Pratama menggarisbawahi yang bisa dilakukan pengguna Tokopedia adalah mengganti password dan mengaktifkan OTP (one time password) lewat SMS. Lalu mengganti semua password dari akun media sosial dan platform marketplace selain tokopedia.
"Akibat peretasan Tokopedia ini bisa menjalar ke akun media sosial dan platform lainnya bila menggunakan email dan password yang sama. Terutama bagi admin akun medsos pemerintah dan lembaga, harus cepat melakukan pengamanan akun sebagai langkah antisipasi," tutur Pratama.
Ditambahkan Pratama, saat mendapatkan sampel data dari forum, belum ada data kartu kredit maupun debet yang disebar pelaku. Harapannya data kartu tidak ikut menjadi salah satu yang berhasil diretas.
Advertisement
Tanggung jawab perusahaan
"Pihak Tokopedia harus bertanggung jawab atas kejadian ini karena data penggunanya diambil dan diperjualbelikan. Pihak Tokopedia wajib secara berulang-ulang, dengan menggunakan segala sarana media yang ada, menyosialisasikan apa saja yang harus dilakukan oleh para penggunanya, seperti ganti password akun dan mengaktifkan OTP, sampai semua penggunanya menyadari kebocoran ini dan mau mengganti password," sambungnya.
Kejadian ini bukan yang pertama kali di Tanah Air. Pratama menilai seharusnya ini menjadi peringatan keras pada setiap penyedia layanan di internet yang memakai banyak data masyarakat dalam kegiatannya.
"Perkuat pengamanan sistemnya, investasi lebih banyak untuk cyber security. Penggunaan enkripsi harus merata terhadap semua data yang berhubungan dengan user, jangan hanya password seperti saat ini," katanya.
(Din/Why)