Password Tokopedia yang Bocor Dienkripsi Algoritma MD5, Amankah?
Jakarta, Cyberthreat.id – Sebanyak 91 juta akun pengguna Tokopedia, raksasa situs web belanja daring Indonesia, bocor di forum internet RaidForums pada 2 Mei 2020.
Basis data yang dicuri oleh peretas (hacker) berjuluk “Shiny Hunters” itu mencakup nama, alamat email, nomor telepon, kata sandi pengguna yang masih dienkripsi (hash), dan lain-lain.
Di Twitter, seorang pengguna bernama Bung Nabung (@ThePandhitas), mengaku telah berhasil membuka kata sandi yang dienkripsi (dehashed).
Menurut dia, sebagian kata sandi yang berhasil dibukanya itu awalnya dienkripsi dengan algoritma hash “MD5” (Message-Digest algorithm 5).
Namun, sebagian kata sandi lainnya masih dilindungi dengan SHA2-384, alogaritma hash yang saat ini diklaim lebih aman dan cukup sulit dibuka.
"Ada dua tabel di Tokopedia, yaitu user_pwd sama user_pwd1. Nah, user_pwd_1 itu [menggunakan] MD5. Saya parsing (mengurainya) menjadi id:hash," kata Bung Nabung saat dikonfirmasi Cyberthreat.id melalui layanan olah pesan WhatsApp, Minggu (10 Mei 2020).
MD5 adalah versi lama dari alogaritma kriptografi, di mana kata kunci masih bisa menggunakan 4 huruf.
Didesain oleh Ronald Rivest pada 1991. Lima tahun kemudian, pada 1996 ditemukan cacat dalam desainnya sehingga mulai ditinggalkan dan digantikan dengan alogaritma baru seperti SHA-1 dan SHA-2. Saat ini, di pasaran juga tersedia aplikasi untuk membuka enkripsi MD5 yang disebut "MD5 Hash Generator."
Diperkirakan, pasword yang dilindungi dengan MD5 itu adalah data pengguna lama Tokopedia sebelum alogaritma hashing diganti ke SHA2-384.
Berita Terkait:
- Kata Tokopedia Soal Data Pengguna yang Bocor
- Tokopedia Klaim Tak Ada Kebocoran Password, Metode Pembayaran Dijamin Aman
- Tokopedia Digugat Rp 100 Miliar Soal Kebocoran Data Pengguna
Bung Nabung mengklaim membuka kata sandi itu dengan alat pemulih kata sandi (hashcat) melalui dictionary attack (serangan berbasis kamus kata sandi). Ia mengaku menggunakan basis data kamus kata sandi yang disediakan hashes.org dan basis data yang dimilikinya sendiri.
“Serangan kamus” adalah salah satu dari bentuk serangan brute force. Bedanya, brute force adalah meretas kata sandi dengan mencoba berbagai kemungkinan dari kombinasi huruf, simbol, dan angka sampai menemukan yang tepat. Sementara, “serangan kamus” mengandalkan kombinasi huruf/simbol/angka di daftar yang sudah ada.
Baca:
- Soal Pelanggaran Data Pengguna, idEA: Lihat dengan Adil, Tokopedia Korban
- Hai Toppers, Hati-hati Anda Rawan Serangan Phishing!
- Soal Kasus Tokopedia, Mana Aksi Pemerintah?
Menanggapi kejadian itu, pakar kriptografi Rifki Sadikin menjelaskan, secara teori enkripsi MD5 memang kurang aman dibanding SHA2 sebab hanya memiliki panjang 128 bit.
"Sedangkan, SHA2 lebih panjang bit-nya. Jadi, kalau [ada serangan] brute force [ke enkripsi SHA-2] lebih lama. Bandingkan dengan MD5 yang hanya 128 bit saja," jelas Rifki kepada Cyberthreat.id.
SHA-2 adalah algoritma enkripsi yang menggantikan SHA-1 dan diklaim memiliki tingkat keamanan lebih tinggi. SHA-2 memiliki empat varian, yaitu SHA-2 224, SHA-2 256, SHA-2 384, dan SHA-2 512—angka-angka yang tertera tersebut menunjukkan panjang bit.
Namun, menurut Rifki, perusahaan sekelas Tokopedia seharusnya memiliki sistem keamanan kata sandi yang kuat. "Yang jelas good practice-nya ialah menambahkan salt. Tak masuk akal perusahaan macam Tokopedia menyimpan hash kata sandi secara naif,” ujar Peneliti Pusat Penelitian Informatika Lembaga Ilmu Pengetahuan Indonesia (LIPI).
Salt adalah mengacak kata sandi sehingga menjadi kata acak. Contoh, kata sandi “Tokopedia” ketika ditambahkan metode salt menjadi “Tokopedia3cbg8”. Selanjutnya, ditambahkan metode enkripsi hash dan hasilnya menjadi: “37bkj45f090kl.99kkbcd66”
Baik Bung Nabung dan Rifki mengatakan, membuka hash MD5 memang sulit, tapi masih memiliki kemungkinan dibuka jika seorang peretas memiliki sumber daya yang canggih.
"Itu tergantung panjang password juga, semakin pendek semakin rentan karena bisa selesai dalam hitungan jam. Jadi, password policy yang baik, seperti lebih dari 8 karakter, harus ada huruf besar, dan karakter khusus, itu yang akan memperbesar ruang pencarian," kata Rifki.
Menurut Rifki, dengan dictionary attack, tak peduli hash-nya apa memang bisa menemukan satu atau dua kata sandi lemah, misalnya, yang menggunakan tanggal lahir atau kata-kata umum.
Oleh karenanya, ia sangat menganjurkan pengguna untuk memakai kata sandi kuat dengan kombinasi huruf, angka, simbol, serta huruf kapital.
Diklaim Aman
Sebelumnya VP of Corportate Communications Tokopedia, Nuraini Razak, mengatakan, sehubungan dengan beredarnya informasi kebocoran data akun pengguna, perusahaan tengah menginvestigasi mendalam.
“Namun kami sudah memastikan, bahwa tidak ada kebocoran password yang dapat digunakan untuk login ke akun Anda,” tutur dia.
Tokopedia mengklaim data pembayaran pengguna tidak terdampak atau dipastikan tidak bocor.
“Tokopedia memastikan tidak ada kebocoran data pembayaran,” kata Nuraini Razak dalam pernyataan tertulisnya pada Minggu (3 Mei 2020) yang diterima Cyberthreat.id.
Pada Rabu (6 Mei 2020), melalui kuasa hukumnya Akhmad Zaenuddin, Komunitas Konsumen Indonesia (KKI) menggugat Menteri Kominfo RI (Tergugat I) dan PT Tokopedia (Tergugat II).
Gugatan terdaftar secara e-court (online) di Pengadilan Negeri Jakarta Pusat Nomor Pendaftaran Online: PN JKT.PST-0520201XD tertanggal 06 Mei 2020.
Pengajuan gugatan terkait dengan kesalahan dari Tokopedia selaku penyelenggara sistem elektronik dalam menyimpan dan melindungi kerahasiaan data pribadi dan hak privasi akun para pengguna situs belanja online Tokopedia.com.
Pada pokok perkara gugatan, KKI meminta sejumlah tuntutan, di antaranya agar pengadilan (1) memerintahkan menkominfo mencabut Tanda Daftar Penyelenggara Sistem Elektronik atas nama PT Tokopedia, (2) memerintahkan kepada menkominfo menghukum PT Tokopedia untuk membayar denda administratif sebesar Rp 100 miliar.
“Denda tersebut harus disetor ke kas negara paling lambat 30 hari kalender sejak putusan perkara ini berkekuatan hukum tetap,” tuntut KKI.[]
Redaktur: Andi Nugroho