KONTAN.CO.ID - JAKARTA. Situs e-commerce Tokopedia
dilaporkan mengalami usaha peretasan. Data pengguna Tokopedia diduga telah
diretas dan bocor di dunia maya.
Jumlahnya tak tanggung-tanggung,
sebanyak 15
juta pengguna Tokopedia yang terimbas.
Informasi kebocoran tersebut pertama kali diungkap akun Twitter
@underthebreach.
Menurut akun tersebut, data
jutaan pengguna Tokopedia tersebut telah disebarkan di forum online.
Peretasan disebutkan terjadi pada
Maret 2020 dan sang hacker disebutkan memiliki lebih banyak data lagi, di luar
15 juta pengguna yang telah tersebar datanya.
Data yang dikumpulkan termasuk
nama pengguna, e-mail, dan hash password yang tersimpan di dalam sebuah file
database PostgreSQL.
Selain hash password, nama, dan
alamat e-mail, data yang diretas juga mencakup tanggal lahir, kode aktivasi
e-mail, kode reset password, detail lokasi, ID messenger, hobi, pendidikan,
waktu pembuatan akun hingga waktu terakhir log-in.
Namun, dalam daftar akun yang
terkumpul di database berjenis PostgreSQL itu, disinyalir tidak disertakan
dengan kode spesifik atau biasa disebut "salt".
Rangkaian kode salt ini berguna
untuk melindungi kata sandi pengguna dengan algoritma. Dengan demikian,
diperlukan waktu bagi peretas untuk menebak serta membobol akun pengguna.
Pernyataan
Tokopedia
Pihak Tokopedia pun mengakui
bahwa ada upaya peretasan data milik pengguna. "Berkaitan dengan isu yang
beredar, kami menemukan adanya upaya pencurian data terhadap pengguna
Tokopedia," kata VP of
Corporate Communications Tokopedia, Nuraini Razak.
Meski membenarkan adanya upaya
pencurian data, Tokopedia mengklaim bahwa informasi milik pengguna tetap aman
dan terlindungi. Nuraini mengatakan, password milik pengguna telah terlindungi
dan dienkripsi.
Selain itu, Tokopedia mengklaim
telah menerapkan sistem kode
OTP (one-time password) yang
hanya bisa diakses secara real time oleh pemilik akun.
Meskipun begitu, Nuraini
mengimbau agar pengguna tetap mengganti password akun secara berkala agar tetap
aman. Tokopedia mengaku sedang menindak lanjuti masalah ini. "Saat ini,
kami terus melakukan investigasi," jelas Nuraini dalam keterangan resmi
yang diterima KompasTekno, Sabtu (2/5/2020) malam.
Tokopedia mengklaim data
penggunanya tetap aman meski ada usaha peretasan. Namun benarkah data pengguna
Tokopedia aman?
Untuk memastikan hal ini,
KompasTekno pun menghubungi praktisi keamanan siber dari Vaksin.com, Alfons Tanujaya terkait dugaan pembobolan akun Tokopedia ini.
Menurut Alfons, data yang tersebar tersebut memang benar merupakan database
pengguna Tokopedia.
Kendati demikian menurut Alfons,
hanya username saja yang terpapar, sementara password-nya di-hash. Secara
teknis, hash sulit untuk dipecahkan.
"Data hash kira-kira seperti
data password yang dienkripsi dengan public key, dan yang terlihat adalah data
yang sudah diacak dan pengacakan itu satu arah," tutur Alfons.
Dengan demikian, untuk membuka data
tersebut, dibutuhkan sebuah private key guna mengembalikan data ke aslinya.
Menurut Alfons, hal tersebut
hanya diketahui oleh server-nya. "Kalau mau membandingkan kekuatan hash,
kira-kira seperti diminta untuk mendekripsi data yang dienkripsi oleh ransomware,"
kata Alfons.
Sebagai informasi, hash adalah
suatu metode enkripsi yang dapat mengubah data yang di input berupa teks
(semacam password) menjadi output seperti kode acak. "Jadi password
dienkripsi dengan public key dan hanya yang punya private key yang bisa
melakukan dekripsi," kata Alfons.
Inti dari pernyataan praktisi
ini, password dari akun pengguna Tokopedia kemungkinan besar tetap aman sesuai
klaim Tokopedia.
Meski demikian, informasi penting
lain milik pengguna bisa saja sudah dimiliki peretas dan bisa dimanfaatkan
untuk kejahatan. Langkah pertama yang perlu dilakukan pengguna adalah mengganti
password dan mencopot layanan keuangan yang terhubung dengan akun Tokopedia.
Sumber : Kontan, 03.05.2020.
Tidak ada komentar:
Posting Komentar