Mengaku Beli Data Pengguna Tokopedia yang Diretas, Orang Ini Pamer Wujud Datanya

Ilustrasi Tokopedia

Cyberthreat.id - Data pengguna Tokopedia yang dibobol hacker dijual di forum online dalam dua tahap. Tahap pertama berisi hampir 15 juta data pengguna dijual seharga 10 Euro atau setara Rp165 ribu. Sementara pada tahap kedua, penjual mengklaim memiliki 91 juta data pengguna Tokopedia yang dijual seharga US$ 5.000 atau sekitar Rp 74.375.000. Sebagai catatan, pembelian bisa dilakukan berulang kali oleh orang berbeda.

Di sosial media, bobolnya data pengguna yang disimpan di server Tokopedia ini menjadi perbincangan hangat. Di Twitter, misalnya, perbicangan tentang Tokopedia menjadi trending topic sepanjang Minggu kemarin, 3 Mei 2020.

Seorang pengguna Twitter pemilik akun @ronaldips yang menggunakan inisial Nal D, misalnya, membuat sebuah thread yang hingga Senin sore (4 Mei 2020) telah dibagikan sebanyak 15 ribu kali dan disukai oleh lebih dari 26 ribu orang.

Dalam cuitannya, Nal bersama temannya mengaku  telah membeli data 15 juta pengguna Tokopedia. Setelah dibuka, jumlah persisnya sebanyak 14.999.896 data pemilik akun di Tokopedia.

Teman Nal, pemilik akun @princerayz memamerkan data yang dibeli dari forum internet itu. Data dalam bentuk plain text itu antara lain berisi nama lengkap pemilik akun Tokopedia, email, tanggal lahir, alamat tinggal, dan data lokasi.

Untuk memastikan keabsahan data itu, Nal dan rekannya mencoba login ke salah satu akun menggunakan salah satu email yang terdapat dalam data pengguna Tokopedia yang dibeli itu.

Saat sistem Tokopedia meminta verifikasi password, Nal memilih opsi lupa password. Lalu, muncul opsi untuk memilih metode verifikasi lewat nomor WhatsApp dan SMS yang tiga angka paling belakang sama dengan yang tercantum dalam data yang dijual di forum darknet itu.

Kesimpulannya, percobaan yang direkam dalam bentuk video itu memastikan bahwa data yang dijual di dark itu valid sebagai data pengguna Tokopedia.


 

dan yg terakhir kami coba lakukan adalah crosscheck data yg kami beli itu dngn metode sederhana, caranya bisa dilihat dari video ini... pic.twitter.com/C9am4oh9Di

— Nal D (@ronaldips) May 2, 2020

Dari sejumlah netizen yang mengomentari postingan itu, beberapa di antaranya terlihat tidak paham bahaya yang mengintai dibalik pencurian data itu.

"Tar dulu, jadi bahayanya apa? Gak ngerti," tulis seorang netizen.

Nal menjawab pertanyaan itu dengan memberi perumpamaan.

"Boleh pinjam nama lengkap kamu, alamat, ttl, sekalian KTP-nya? Saya mau  ngajuin utang pake data kamu. Gitulah kira-kira," jawabnya.

Catatan Cyberthreat.id, selain datanya dapat disalahgunakan untuk pengajuan pinjaman atas nama orang lain, bahaya lain yang mengintai seperti menjadi target phishing. Bukan tidak mungkin si pemegang data akan berpura-pura mewakili  Tokopedia dan mengarahkan pemilik data untuk login ke situs palsu yang dibuat mirip situs Tokopedia. Dengan begitu, password untuk masuk ke akun Tokopedia bisa terekam. Ini pernah terjadi pada seorang pengguna Bukalapak beberapa waktu lalu. (Lihat: Dijebak Pelapak di Bukalapak, Wanita Ini Rugi Puluhan Juta)

Data nomor telepon juga dapat digunakan untuk memperdaya si pemilik data dengan cara melakukan rekayasa sosial dengan memanfaatkan fitur call forwading untuk menggandakan SMS dari operator seluler. Dengan begitu, pelaku bisa mendapatkan kode OTP untuk masuk ke akun digital si pemilik data.

Ini pernah terjadi pada artis Maia Estianti pada Januari 2020 lalu. Pada kasus Maia, setelah berhasil menggandakan SMS, pelaku bisa membobol akun Gopay, Tokopedia, hingga WhatsApp miliknya.

Modusnya, dengan berbagai dalih, pelaku meminta Maia melakukan panggilan telepon ke nomor *21*082178912261#. Maia tak sadar bahwa *21* adalah kode USSD Telkomsel untuk menggandakan SMS ke nomor si penipu yaitu 082178912261. Setelah kode itu ditekan, semua SMS yang seharusnya hanya masuk ke nomor telepon Maia, juga masuk ke ponsel si penipu.

Si penipu membutuhkan akses SMS itu lantaran membutuhkan kode verifikasi OTP (one time password) berupa angka-angka yang biasanya dikirimkan lewat SMS untuk bisa masuk ke akun Gojek, WhatsApp atau Tokopedia. Karena sudah mendapatkan kode OTP, si penipu bisa dengan leluasa menguasai akun-akun tersebut. (Selengkapnya baca: OTP WhatsApp Maia Estianty Dibobol, Ini Cara Amankannya).

Tokopedia Mengelak Merespon
Tokopedia sendiri sejauh ini hanya mengatakan menjamin password pengguna aman karena dilindungi enkripsi. Namun, Tokopedia tidak menyinggung soal data pribadi pengguna yang telah dibobol hacker dan terancam disalahgunakan itu.

Cyberthreat.id mencoba mengontak Humas Tokopedia Shania Safira untuk menyatakan tentang respon perusahaan terkait pembobolan data pribadi 91 juta pengguna Tokopedia itu. Namun, Shania hanya mengirimkan siaran pers yang telah dimuat di Cyberthreat.id pada Minggu kemarin yang juga tidak menjawab pertanyaan. (Lihat: Tokopedia Klaim Tak Ada Kebocoran Password, Metode Pembayaran Dijamin Aman).

Ketika diingatkan lagi bahwa pertanyaannya adalah bagaimana tanggung jawab Tokopedia terkait gagalnya melindungi data pribadi penggunanya, Shania mengatakan,"Kembali ke pernyataan kami sebelumnya. Saat ini, Tokopedia terus melakukan investigasi dan belum ada informasi lebih lanjut yang dapat kami sampaikan."[]