Liputan6.com, Jakarta - Beberapa hari lalu, salah satu anggota grup Facebook soal keamanan siber sempat berbagi tautan untuk mengunduh 91 juta data Tokopedia secara gratis. Aksi ini disebut merupakan kelanjutan dari kasus kebocoran data yang menerpa akun pengguna marketplace tersebut pada Mei 2020.
Menyusul temuan ini, Tokopedia mengatakan pihaknya sudah menyadari ada pihak ketiga yang mengunggah informasi secara ilegal di media sosial dan forum internet terkait akses data pelanggan yang telah dicuri. Dan, mereka memastikan ini bukan aksi pencurian data baru.
Advertisement
Baca Juga
"Kami ingin menegaskan, ini bukanlah upaya pencurian data baru dan informasi password pengguna Tokopedia tetap aman terlindungi di balik enkripsi," tutur VP of Corporate Communications Tokopedia, Nuraini Razak, dalam pesan singkat pada Tekno Liputan6.com, Senin (6/7/2020).
Lebih lanjut Nuraini mengatakan pihaknya sudah melaporkan tindakan ini ke pihak kepolisian. Selain itu, startup unicorn ini juga mengingatkan seluruh pihak untuk menghapus segala informasi yang memfasilitasi akses ke data yang diperoleh dengan cara melanggar hukum.
Di samping itu, Nuraini mengatakan pihaknya telah menyampaikan informasi terkait insiden pencurian data ini secara transparan dan berkala pada seluruh pengguna. Tokopedia juga juga berkoordinasi dengan pemerintah dan berbagai pihak berwenang sekaligus menerapkan langkah keamanan standar internasional.
"Kami juga telah mengarahkan pengguna kami atas langkah-langkah lebih lanjut yang harus mereka ambil untuk memastikan perlindungan data pribadi mereka,” tutur Nuraini.
91 Juta Data Pengguna Tokopedia di Dark Web Bisa Diunduh Gratis di Forum
Sebagai informasi, pada Sabtu (4/7/2020) sore, salah satu anggota grup Facebook terkait keamanan siber dengan sekitar 15 ribu anggota berbagi tautan untuk mengunduh 91 juta data Tokopedia sebanyak secara gratis.
Saat ditelaah, tautan itu merujuk pada salah satu akun bernama @Cellibis di Raidsforum yang memang telah membagikan data itu pada Jumat (3/7/2020). Akun itu berbagi secara hampir cuma-cuma di forum itu, yang sebelumnya dia peroleh dengan membeli data itu di Dark Web senilai USD 5.000.
Dalam keterangannya Minggu (5/7/2020), pakar keamanan siber Pratama Persadha menyatakan Tokopedia sudah semestinya bertanggung jawab karena data pengguna yang mereka kelola bocor dan tentu banyak pihak akan memanfaatkannya untuk tindak kejahatan. Ini menjadi bukti bahwa Tokopedia benar-benar telah diretas.
"Meski gratis, [proses] pengunduhan juga tidak mudah. File ini disimpan di server Amerika, sehingga [mereka yang berminat mengunduh data ini] harus menggunakan VPN dengan IP Amerika," ujar chairman Lembaga Riset Siber Indonesia CISSReC tersebut kepada Tekno Liputan6.com.
Raidforums, kata Pratama, juga memiliki mata uang tersendiri dan semua member yang mendaftar di forum itu terlebih dahulu dapat menggunakannya.
"Member bisa mendepositkan uang melalui layanan Paypal minimal sebesar 8 Euro, lalu akan mendapatkan 30 Credit," tutur Pratama menambahkan.
Advertisement
Ukuran Akhir Data 28,5GB
Selain itu, ujar Pratama, untuk mendapatkan data 91 juta akun Tokopedia seseorang perlu melakukan pembayaran senilai 8 Credit. Jika pembayaran selesai, tautan untuk mengunduh data itu akan muncul dan hasil akhir unduhannya tersedia dalam format .zip dengan ukuran 9,5GB, yang kemudian menjadi data dalam format .txt sebesar 28,5GB setelah melalui proses ekstraksi.
"Tapi tidak lantas kita bisa membuka file teks sebesar itu, harus ada aplikasi khusus semisal UltraEdit untuk bisa membukanya. Setelah itu kita bisa melihat data sebanyak 91.174.216 yang berisikan nama lengkap, nama akun, email, toko online, tanggal lahir, nomor HP, tanggal mendaftar, serta beberapa data yang terenkripsi berbentuk hash. Lalu dengan mudahnya dengan fitur pencarian, keyword email atau nomor telepon yang ingin dicari bisa dengan mudah ditemukan," kata Pratama.
Hingga Minggu (5/7/2020) pukul 10.00 WIB, tautan untuk mengunduh data 91 juta akun Tokopedia masih bisa diakses dan sudah ada 58 anggota yang telah mengunduhnya. Di sana tertulis masa berlaku tautan hanya hingga 5 hari ke depan. Adapun data yang bocor, itu sama seperti data yang banyak dibahas pada awal Mei 2020 lalu, yaitu data yang ditambang per Maret 2020.
"Kebocoran ini kembali membuktikan betapa lemahnya regulasi perundang-undangan kita yang menaungi wilayah siber dan data pribadi. Sekali lagi, RUU Perlindungan Data Pribadi [RUU PDP] harus segera diselesaikan dan wajib mengatur sanksi serta standar teknologi yang dijalankan untuk penyelenggara sistem elektronik," kata Pratama menegaskan.
(Dam/Ysl)