Telset.id, Jakarta – Sabtu sore (02/05) masyarakat Indonesia dikejutkan dengan kabar bahwa Tokopedia dihack dari salah satu akun Twitter bernama @underthebreach. Ia mengungkapkan jutaan akun Tokopedia telah diretas oleh hacker, dan data-data penting yang dibobol disebarkan pelaku ke forum darkweb.
“Seseorang membocorkan basis data Tokopedia, perusahaan teknologi besar asal Indonesia yang menjalankan e-commerce,” tulis akun tersebut.
“Peretasan dilakukan pada Maret 2020 dan berpengaruh pada 15 juta pengguna, meski peretas menyebut masih banyak lagi. Basis data termasuk email, hash password, nama,” tambahnya.
{Baca juga: Tokopedia Diretas, 15 juta Data Pengguna Bocor}
Awalnya, @underthebreach mengatakan ada 15 juta akun Tokopedia yang terdampak. Data seperti nama akun, alamat email, tanggal lahir, waktu login terakhir, nomor telepon dan sebagainya terkuak di forum darkweb antar hacker.
Tapi ternyata, kasus peretasan ini lebih parah dari yang diperkirakan. Bagaimana tidak, bukan 15 juta akun yang terdampak, tapi ada 91 juta akun pengguna dan 7 juta akun merchant yang berhasil diretas oleh hacker.
Padahal di tahun lalu, Tokopedia mengumumkan bahwa mereka memiliki setidaknya 91 juta pengguna aktif di platform-nya. Itu berarti, hampir semua data milik pengguna Tokopedia berhasil dirampas oleh hacker dan dijual di forum darkweb.
Sang hacker menjual semua data tersebut dalam satu bundle database dengan harga USD 5.000 atau setara Rp 74 jutaan.
Selain itu, hacker juga sedang mencari bantuan hacker lainnya untuk dapat membuka data password yang masih terkunci atau ter-hash dari database yang telah ia dapatkan.
Risiko Bagi Pengguna
Data dari 91 juta akun pengguna dan 7 juta akun merchant Tokopedia berhasil didapatkan dan dijual oleh hacker di forum darkweb. Tentu itu menimbulkan risiko atau dampak langsung terhadap pengguna maupun merchant.
Setidaknya, ada 3 risiko bagi pengguna terkait kasus Tokopedia di-hack ini. Pertama, password yang telah di-hash atau dikunci oleh sistem database Tokopedia bisa saja dibobol hacker.
Perlu diketahui, hash merupakan protokol enkripsi untuk mengubah teks menjadi sederetan karakter acak. Melalui hash, database akan menyimpa password atau variabel setelah dienkripsi, bukan bentuk asli.
Salah satu metode sederhana yang mungkin dilakukan hacker untuk membobol password adalah brute force dengan berusaha mencari kombinasi karakter acak pada sistem database yang telah diretas. Lalu, bagaimana kalau hacker berhasil membobol password yang di-hash?
{Baca juga: Tokopedia Akui Adanya Upaya Pencurian Data Pengguna}
Apabila password pengguna Tokopedia yang berhasil dihack peretas, digunakan juga pada platform online lainnya, seperti email, m-banking, media sosial, dan lainnya, maka hacker bisa masuk dengan mudah ke akun-akun tersebut.
Email menjadi perhatian utama di sini. Sebab, ketika hacker berhasil mengakses email pengguna, maka mereka tinggal melihat akun apa saja yang terintegrasi dengan email tersebut. Worst case, sang peretas tinggal reset password dan semua akun pengguna lenyap di tangan hacker.
Risiko selanjutnya, saldo di aplikasi e-wallet yang terkait serta saldo penghasilan milik merchant. Salah satu layanan e-wallet yang bisa digunakan di Tokopedia adalah OVO. Bisa jadi, saldo pengguna di OVO maupun saldo penghasilan terpengaruh.
Jangan lupakan risiko terhadap kartu debit maupun kredit. Biasanya, ada dua protokol pembayaran kartu kredit yang diimplementasi oleh platform e-commerce.
Yakni menggunakan payment gateway pihak ketiga atau menggunakan sistem tersendiri untuk pembayaran via kartu kredit sekaligus menyimpan langsung data-data kartu kredit di dalam database.
Tokopedia memang memastikan seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit dan OVO, tetap terjaga keamanannya. Tapi, setidaknya kita harus berjaga-jaga, bukan?
