Bocornya data pengguna e-commerce Tokopedia memang sempat heboh di bulan Mei lalu. Salah seorang dari anggota forum peretas Raidforums.com telah mengaku ada 91 juta data pengguna e-commerce dan menjualnnya.
Belakangan ini Lembaga Riset Siber Indonesia CISSRec (Communication and information System Security Research Center) menemukan ada orang yang membeli data tersebut. Data pengguna Tokopedia tersebut diedarkan melalui tautan unduhan di Facebook.
Chairman CISSRec Pratama Persadha mengatakan jika link yang diposting tersebut oleh salah anggota grup yang mana grup tersebut memiliki hampir 15.000 anggota.
Tautan tersebut bersumber dari anggota situs Raidforums bernama @Cellibis, ia lebih dulu dalam menyebarkan link di situs tersebut. Bisa dibilang sehari sebelum tautaun yang diunggah di Facebook.
“Akun tersebut membagikan secara cuma-cuma di Raidforums yang mana sebelumnya ia dapatkan dari cara membeli data tersebut di darkweb sebesar 5.000 US Dollar (Rp 72,6 juta)” ungkap Pratama dalam keterangan tertulisnya.
Hasil Bocoran Data 91 Juta Pengguna Tokopedia Kini Beredar Melalui Link di Facebook
Pratama juga menjelaskan bagi mengunduh file bocoran data pengguna Tokopedia itu harus menggunakan VPN. Karena file itu di simpan oleh server yang basisnya di Amerikan Serikat (AS).
Raidforums kini juga sudah menggunakan sistem pembayaran berbasis credits untuk link download. Bagi yang member juga bisa melakukan deposit uang via Paypal minimal sebesar 8 euro (Rp 130.000) untuk mendapat 30 credits. Link bocoran data pengguna Tokopedia tersebut dihargai senilai 8 credits.
Jika sudah melakukan pembayaran, maka link hosting dari pihak ketiga maka bakal terlihat dan siap untuk diunduh. Hasil unduhan tersebut terkemas dalam format zip berukuran data sebesar 9,5 GB. Setelah itu unduhan tersebut nanti harus diekstrak dengan hasil file berbentuk .txt sebesar 28,5 GB.
Namun file teks yang berukuran besar tidak bisa langsung dibuka. Tetapi harus menginstall aplikasi khusus seperti UltraEdit.
“Setelah itu data baru bisa dilihat, ada 91.174.216 data pengguna yang berisi nama lengkap, tanggal mendaftar serta data yang sudah terenkrispi berbentuk hash” ungkap Pratama.
Pemilik file juga bisa dengan mudah untuk mencari informasi pengguna Tokopedia, apa itu nomor ponsel, e-mail dan yang lainnya melalui fitur search.
Pratama juga menjelaskan data yang diedarkan melalui link sama dengan data yang bocor pada awal Mei 2020 lalu. Dimana data yang diambil itu adalah per bulan Maret 2020 dari Tokopedia.
Sampai hari Minggu 5/7/2020 pukul 10.00 WIB, tautan 91 juta akun pengguna Tokopeida itu sudah bisa diakses setidaknya 58 orang. Pada tautan tersebut ada tertulis link akan kadaluarsa hingga 5 hari ke depan.
Tetapi setelah Dafunda Tekno selidiki, ternyata link tersebut sudah dihapus di Minggu sore kemarin, baik itu di situs Raidforums dan juga di grup Facebook tempat dimana tautan dibagikan.
Begini Tanggapan Tokopedia
Melalui pernyataan yang tertulis, VP of Corporate Communications Tokopedia, Nuraini Razak mengatakan jika pihaknya kini sudah mengetahui soal penyebaran informasi secara ilegal di media sosial. Serta di forum internet terkait data pelanggan yang sudah dicuri.
“Kami sudah melaporkan hal ini ke pihak kepolisian dan juga ikut mengingatkan kepada semua pihak untuk menghapus segala informasi yang memfasilitasi akses ke data yang diperoleh lewat cara melanggar hukum” ungkap Nuraini.
Dia menegaskan ini bukan cara pencurian data yang baru. Informasi password pengguna Tokopedia masih tetap aman terlindungi di balik enkripsi.
Walaupun demikian, Pratama mengatakan jika data tersebut jatuh ke tangan hacker yang mampu melakukan cracking nash. Maka password bisa saja diketahui dan selanjutnya bisa mengambil alih akun pengguna.
Dalam pesan singkatnya, Pratama sangat menyayangkan jika Tokopedia dinilai kurang serius dalam menangani soal keamanan ini.
Selain itu menurut penilaiannya, tidak ada aturan tegas untuk setiap penyelenggara sistem elektronik baik negara atau swasta. Sehingga tidak ada tekanan yang berarti untuk membuat sistem dan maintanance terbaik.
“Jelas terlihat setelah adanya 91 juta data (pengguna Tokopedia) yang bocor. Hal ini membuktikan betapa lemahnya regulasi perundang-undangan kita di ruang lingkup siber dan data pribadi. Sekali lagi, RUU Perlindungan Data Pribadi harus segera diselesaikan” ungkap Pratama.
