Data Pengguna Bocor, Ruby Alamsyah: Tokopedia Tak Belajar dari Kasus Bukalapak

Pakar Forensik Digital Ruby Alamsyah (tengah) saat mengikuti diskusi yang diselenggarakan Cyberthreat.id bekerja sama dengan Badan Siber dan Sandi Negara di Auditorium BSSN, Jakarta Senin (27 Mei 2019) | Foto: Cyberthreat.id/Rahmat Herlambang

Jakarta, Cyberthreat.id – Pakar Forensik Digital Ruby Alamsyah mengaku prihatin masih terjadi lagi kebocoran data yang dialami platform pasar daring di Indonesia.

Kejadian yang menimpa pasar daring Tokopedia, menurut Ruby, menunjukkan bahwa platform tak mau belajar dengan insiden serupa sebelumnya.

"Lagi-lagi kebocoran data pengguna ini terjadi di platform besar. Pengamatan kami ini kejadian yang kedua dari data e-commerce,” ujar pendiri PT Digital Forensic tersebut kepada Cyberthreat.id, Minggu (3 Mei 2020).

Insiden siber yang dimaksud Ruby adalah bocornya 12,9 juta data pengguna Bukalapak pada tahun lalu. (Baca: 26 Juta Akun yang Dicuri Hacker Dihargai US$5.000, Termasuk 13 Juta dari Bukalapak)

Oleh karenanya, menurut Ruby, sangat penting bagi platform untuk meningkatkan keamanan dengan standar-standar keamanan tingkat tinggi. “Walaupun sudah melakukan hashing, masih perlu  juga mengunakan teknik lain agar data pengguna itu tidak dengan mudahnya diambil oleh para pelaku,” ujar dia.

Ruby menambahkan, kebocoran data yang menimpa Bukalapak dan Tokopedia merupakan pembobolan data yang masif—data yang diambil oleh peretas bukan data yang sedikit, melainkan belasan hingga puluhan juta.

Melihat kebocoran data yang menimpa Bukalapak dan Tokopedia, Ruby mengatakan, terlihat ada kesamaan dari keduanya, yaitu hanya menggunakan metode hashing untuk mengamankan data kata sandi (password).

“Padahal, sangat penting menggunakan teknik keamanan tambahan lain dan tidak hanya bergantung pada satu teknik pengamanan saja, misalnya, hashing itu tadi,” ujar Ruby.

Terlebih, data yang perlu diamanankan tidak hanya kata sandi pengguna, tapi data-data pribadi lain harus dipastikan tidak akan bocor karena akan membahayakan para pengguna.

Teknik hashing adalah sebuah algoritma yang mengubah sebuah data informasi berupa huruf, angka, atau karakter lainnya menjadi karakter terenkripsi dengan ukuran tetap.

Oleh karena itu, hash bisa disebut dengan One Way Function atau bisa juga dikatakan enkripsi satu arah. Fungsi hash itu sendiri biasanya dimanfaatkan untuk menyembunyikan kata sandi asli.


Berita Terkait:


Meski data yang di-hash mungkin akan menyulitkan peretas, “Tingkat hashing itu memang ada levelnya, dengan usaha yang cukup meliputi: waktu, teknik, dan hardware yang mumpuni, hashing akan ada sedikit kemungkinan dibobol atau terbuka," tutur Ruby.

Sejauh ini, dalam pantauan Ruby, belum ada informasi di internet, ada yang mengaku telah berhasil mendekripsi kata sandi pengguna Tokopedia yang di-hash.


Data pengguna Tokopedia yang dibocorkan peretas di darknet. | Foto: Under the Breach


Under the Breach adalah perusahaan keamanan siber asal Israel yang pertama kali mendapati peretas (hacker) yang membagikan basis data pengguna Tokopedia di forum darknet, RaidForums.

Unggahan pertama di darknet, menurut Under the Breach, peretas mengklaim telah memiliki basis data 15 juta pengguna. Namun, saat data itu dijual, mereka mengklaim memiliki total 91 juta basis data pengguna Tokopedia.

Untuk sistem pembayaran, peretas memilih dengan sistem rekening escrow atau melalui perantara pihak ketiga. Seperti tertera di gambar di bawah ini:

Awalnya dalam unggahan di darknet, peretas yang belum diketahui identitasnya ini memutuskan untuk berbagi data yang diretas pada Maret 2020. Ia sengaja menawarkan data itu karena ingin minta bantuan dari peretas lain yang bisa membuka alogaritma hashing SHA2-384.

Needed to crack the hashes,” tulis dia.

Peretas mengklaim basis data yang dimiliki itu berisi email, kata sandi yang di-hash nama pengguna, dan lain-lain. Siapa pun yang tertarik dengan data itu, peretas meminta untuk mengontaknya melalui alamat email: whysodank@jabber.ua.



Tanggapan Tokopedia

Menanggapi kejadian itu, Tokopedia menyatakan, telah mengetahui dan sedang menyelidiki kasusnya.

“Berkaitan dengan isu yang beredar, kami menemukan adanya upaya pencurian data terhadap pengguna Tokopedia, namun Tokopedia memastikan, informasi penting pengguna, seperti password, tetap berhasil terlindungi," ujar VP of Corporate Communications Tokopedia, Nuraini Razak, dalam keterangan tertulisnya, Sabtu (2 Mei 2020).

Tokopedia menyebut kata sandi terlindungi, tapi dalam tangkapan layar yang dibagikan oleh Under the Breach terlihat jelas alamat email dan nomor telepon pemilik data. "Saat ini, kami terus melakukan investigasi dan belum ada informasi lebih lanjut yang dapat kami sampaikan,” tutur Nuraini.

Nuraini menyarankan pengguna Tokopedia mengganti kata sandi akun secara berkala demi keamanan dan kenyamanan.[]

Redaktur: Andi Nugroho