Data Bukalapak Terbuka, 13 Juta Akun Bocor?
Ilustrasi. Foto: antaranews.com
Jakarta, Cyberthreat.id – Kebocoran data dari jutaan akun Bukalapak bukanlah isapan jempol. Penelusuran Cyberthreat.id menemukan fakta bahwa situs belanja dan unicorn di Indonesia ini telah dibobol hacker Pakistan dengan nama samaran Gnosticplayers.
Bahkan ia mengklaim bukan hanya membobol situs Bukalapak, namun juga Youthmanual. Dari dua situs yang sudah dibobolnya itu ia mencuri jutaan akun.
Seperti diberitakan The Hacker News, peretas tersebut kemudian menjual hasil retasannya di dark web dalam empat putaran. Tiga putaran di antaranya telah dilakukan pada Februari pada darknet bernama Dream Market dimana sang hacker menjual seluruh data dari situs yang diretas seharga 1.2431 Bitcoin atau setara US$5.000.
Didalam data yang dijual tersebut terdapat 13 juta data akun dari Bukalapak dan 1,12 juta data akun Youthmanual, yakni situs pencari informasi pendidikan dan karir.
Ahli digital forensik Ruby Alamsyah mengatakan kepada Cyberthreat.id, Rabu (31 Juli 2019), berdasarkan penelitian khusus yang ia lakukan terkait pemberitaan itu, dapat dikonfirmasi kalau kedua situs platform asal Indonesia tersebut bocor dan beredar di darknet. Namun Ruby tidak bersedia menyebutkan ataupun membenarkan nama platform online yang bocor datanya tersebut.
"Setelah mengakses data yang dimaksud secara khusus melalui secure channel dari pihak ketiga yang memiliki data yang dimaksud, kami telusuri dan lakukan cross check ke beberapa pengguna dan ternyata data pribadinya sangat cocok dengan data yang ada di platform yang dimaksud. Dapat disimpulkan data pribadi pengguna dari platform online yang ada di Indonesia tersebut memang bocor,” ujar Ruby kepada Cyberthreat.id.
Bukalapak Pernah Mengelak?
Bukalapak pernah membuat klarifikasi terkait hal itu kepada Cyberthreat.id pada 18 Maret 2019 melalui email yang dikirim oleh Head of Corporate Communication Bukalapak Intan Wibisono yang mengatakan bahwa upaya peretasan ke Bukalapak memang pernah ada beberapa waktu lalu.
“Namun, tidak ada data penting seperti user, password, finansial, atau informasi pribadi lainnya yang berhasil didapatkan (peretas),” ujar Intan.
“Kami selalu meningkatkan sistem keamanan di Bukalapak, demi memastikan keamanan dan kenyamanan para pengguna Bukalapak, dan memastikan data-data penting pengguna tidak disalahgunakan,” ia menambahkan.
Ruby menambahkan hasil penelitiannya, yang menarik adalah memang data paling krusial, yakni password ter-enkripsi dengan baik, sayangnya puluhan kategori lainnya, yang terkait data pribadi pengguna akun kedua platform asal Indonesia tersebut berhasil di-hack.
“Kalau kita lihat dari dua platform ini, data krusial seperti password memang tidak muncul secara [...] setelah kita cek password tersebut terenkripsi atau diamankan dengan tehnik hasingnya atau enskripsi yang cukup advance sehingga tidak sembarang orang bisa melakukan decrypt, atau membaca password aslinya. Jadi secara teknologi keamanan untuk field tertentu sebenarnya sudah bagus,” kata Ruby.
“Akan tetapi, beberapa data pribadi bisa terlihat. Data yang bocor itu berupa nama, nama lengkap, email address, tanggal lahir, nomor handphone, IP address pengguna yang terakhir,” ujar Ruby.
Ruby menyayangkan kenapa data tersebut bisa bocor ke pihak ketiga dan terjual di deepweb, atau yang biasa disebut darknet. “Muncul pertama kali di situs internasional, platform yang dihack berbarengan dengan platform lainnya dari negara lain. Nah itu yang perlu dipastikan kenapa. Kenapa hal itu bisa terjadi?,” ujarnya.
The Hacker News, situs pertama yang memberitakan hasil peretasan hacker Pakistan tersebut pernah merinci jumlah akun yang dibobol.
Total sekitar 26,43 juta akun yang dicuri dan dipasarkan di dark web, antara lain:
1. Youthmanual — situs pencari informasi pendidikan dan karier (1,12 juta akun)
2. Bukalapak – situs belanja online Indonesia (13 juta akun)
3. GameSalad — platform belanja online (1,5 juta akun)
4. Lifebear — situs belanja Notebook asal Jepang (3,86 juta akun)
5. EstanteVirtual — toko buku online (5,45 juta akun)
6. Coubic — situs jadwal apoinment (1,5 juta akun)
Lucunya, dua hari setelah The Hacker News memberitakan hal tersebut, tepatnya pada 20 Maret 2019, di akun Twitter-nya(@TheHackersNews), The Hacker News mencuit bahwa Bukalapak telah mengontaknya dan meminta agar menghapus nama perusahaan dalam laporan tersebut.
Menurut Bukalapak, data itu belum tentu data pelanggan. Namun, permintaan dari Bukalapak itu ditolaknya.
