Gagal Lindungi Data Pribadi Pengguna, Bagaimana Tanggung Jawab Tokopedia?

Ilustrasi Tokopedia

Cyberthreat.id - Platform belanja daring Tokopedia telah mengirim notifikasi berupa email ke pengguna terkait bocornya puluhan juga data pengguna. Dalam email itu, Tokopedia menjamin tidak ada kebocoran password yang dapat digunakan peretas untuk masuk ke akun Tokopedia.

Masalahnya, bocor tidaknya password bukan satu-satunya bahaya yang mengancam. Dalam database yang diretas hacker itu, ada data pribadi lain pengguna Tokopedia seperti nama lengkap, alamat, email, tanggal lahir, dan nomor telepon.

Sayangnya, dalam notifikasi yang dikirim ke pengguna, Tokopedia sama sekali tidak menyinggung soal data pribadi pengguna yang bocor itu. Tokopedia juga tidak memberitahukan secara detail ke pengguna informasi apa saja yang bocor. Seolah-olah bocornya data pribadi pengguna itu bukan sesuatu yang harus dilindungi oleh Tokopedia. Padahal, pasal 14 ayat 5 Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik menyebutkan,"Jika terjadi kegagalan dalam perlindungan terhadap Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut."

Meskipun Tokopedia mengklaim peretas tidak bisa menerobos password akun milik pengguna, bocornya alamat email berikut tanggal lahir dan nomor telepon seluler, menyimpan bahaya lain bagi pemilik data.

Sebut saja misalnya pemilik data bisa menjadi target phising, penipuan,  telemarketing atau email marketing. Dalam sejumlah kasus kebocoran data pribadi pengguna, seringkali orang yang menjadi target dijebak untuk masuk ke situs palsu yang dibuat mirip dengan situs aslinya. Dengan begitu, pelaku bisa merekam password untuk masuk ke situs Tokopedia yang asli.

Data itu juga bisa digunakan untuk profiling atau pengajuan kartu kredit, pinjaman online dan semacamnya.

Cyberthreat.id mengontak salah satu nomor telepon milik pengguna Tokopedia yang bocor dan diunggah di Twitter oleh perusahaan keamanan siber Under the Breach pada 2 Mei 2020.

Namanya Nanda, pemilik nomor telepon 08135757xxxx. Wanita berusia 24 tahun yang tinggal di Malang, Jawa Timur, itu mengaku kaget ketika banyak pesan WhatsApp masuk dan mengingatkannya untuk ganti pasword akun Tokopedia pada Sabtu sore, 2 Mei 2020.

Nanda mengatakan dirinya sudah lama mencopot aplikasi Tokopedia dari ponselnya. Dia juga sudah lupa password email yang digunakan saat mendaftar di Tokopedia.

"Dari kemarin pusing mikirin itu sih. Akun Tokopedia saya tidak dipakai lagi. Tapi takut data-data yang bocor itu disalahgunakan," kata Nanda kepada Cyberthreat.id.

Sayangnya, sejauh ini, Tokopedia belum menyinggung soal itu dan hanya berfokus pada keamanan password semata.

Berikut notifikasi yang dikirim Tokopedia ke pengguna pada Minggu sore (3 Mei 2020).

Dear Toppers,

Sehubungan dengan beredarnya informasi kebocoran data akun Tokopedia, Tokopedia saat ini tengah melakukan investigasi mendalam mengenai hal ini. Namun kami sudah memastikan, bahwa tidak ada kebocoran password yang dapat digunakan untuk login ke akun Anda.

Meskipun password dan informasi krusial Anda tetap terlindungi di balik enkripsi, kami menganjurkan Anda untuk selalu mengganti password akun secara berkala demi keamanan dan kenyamanan.

Caranya bisa dilihat di https://www.tokopedia.com/help/article/st-1003-cara-mengubah-kata-sandi

Tokopedia juga menerapkan keamanan berlapis, termasuk dengan OTP (One Time Password / Kode Verifikasi yang dikirimkan lewat SMS) yang hanya dapat diakses secara real time oleh pemilik akun, maka penting sekali untuk tidak memberikan kode OTP kepada siapapun dan untuk alasan apapun, termasuk kepada pihak yang mengatasnamakan Tokopedia.

Tokopedia pastikan seluruh transaksi dengan semua metode pembayaran di Tokopedia selalu terjaga keamanannya.

Di sisi lain, Tokopedia juga akan selalu berupaya menjaga kerahasiaan data pribadi Anda. Bisnis Tokopedia adalah bisnis kepercayaan, maka keamanan data pribadi Anda merupakan prioritas utama kami.

Abaikan pesan ini apabila Anda telah mengubah password dalam satu bulan terakhir.

***

Lembaga Studi dan Advokasi Masyarakat (ELSAM) mengkritik Tokopedia karena dinilai terlambat memberitahu konsumen tentang kebocoran data itu.

Menurut lembaga swadaya masyarakat yang fokus pada isu perlindungan privasi itu, Tokopedia seharusnya ketika terjadi insiden kebocoran data segera memberitahukan informasi kepada pengguna.

Sejumlah informasi yang perlu disampaikan kepada konsumen, antara lain:

- kategorisasi data pribadi apa saja yang bocor
- jumlah subjek data yang terdampak
- informasi kontak petugas perlindungan data pribadi yang dapat dihubungi
- konsekuensi yang mungkin terjadi sebagai dampak dari kebocoran
- langkah-langkah yang telah diambil oleh pengendali data untuk mengatasi kebocoran (termasuk mitigasi kejadian serupa di masa mendatang).

Seperti diberitakan sebelumnya, bocornya data pengguna Tokopedia diketahui setelah perusahaan keamanan siber asal Israel Under the Breach mendapati peretas (hacker) telah membagikan basis data pengguna Tokopedia di forum darknet, RaidForums.

Unggahan pertama di darknet, menurut Under the Breach, peretas mengklaim telah memiliki basis data 15 juta pengguna. Namun, saat data itu dijual, mereka mengklaim memiliki total 91 juta data pengguna.

Basis data tersebut ditawarkan dengan harga US$ 5.000 atau sekitar Rp 74.375.000 dengan nilai tukar saat berita ini ditulis (US$ 1= Rp 14.875).[]