Sepekan, Hacker Tokopedia Kantongi Uang Sebesar Rp 666 Juta
Jakarta, Cyberthreat.id – Sejak pertama kali ditawarkan ke publik pada 3 Mei 2020 seharga US$ 5.000 (Rp 74 juta), basis data 91 akun pengguna Tokopedia hingga berita ini ditulis telah terjual sembilan kali. Dengan jumlah penjualan tersebut, peretas telah mengantongi uang sebesar Rp 666 juta.
Basis data yang dijual oleh peretas (hacker) berjuluk “Shiny Hunters” di Empire Market itu mencakup nama, alamat email, nomor telepon, kata sandi pengguna yang masih dienkripsi (hash), dan lain-lain.
Hal itu diutarakan salah satu pengguna Twitter di Indonesia, Bung Nabung (@ThePandhitas), kepada Cyberthreat.id, Minggu (10 Mei 2020) sambil mengirimkan tangkapan layar penjualan data.
Bung Nabung adalah salah satu orang yang berhasil membuka hash kata sandi (password) pengguna Tokopedia yang bocor tersebut.
Menurut dia, sebagian kata sandi yang berhasil dibukanya itu awalnya dienkripsi dengan algoritma hash “MD5” (Message-Digest algorithm 5).
Namun, sebagian kata sandi lainnya masih dilindungi dengan SHA2-384, alogaritma hash yang saat ini diklaim lebih aman dan cukup sulit dibuka.
"Ada dua tabel di Tokopedia, yaitu user_pwd sama user_pwd1. Nah, user_pwd_1 itu [menggunakan] MD5. Saya parsing (mengurainya) menjadi id:hash," kata Bung Nabung.
Untuk pembelian di forum internet, RaidForums, kata dia, sulit dilacak karena pembeli menggunakan kartu kredit berbeda dengan di Empire Market. “Jadi, tidak bisa dilacak," ujar dia.
Tangkapan layar hasil penjualan data 91 juta akun pengguna Tokopedia yang diretas Shiny Hunters. Peretas telah mengantongi uang hasil penjualan data sebesar Rp 666 juta.
Pada 2 Mei lalu, Under the Breach adalah perusahaan keamanan siber asal Israel yang pertama kali mendapati peretas membagikan basis data pengguna Tokopedia di forum RaidForums.
Kementerian Komunikasi dan Informatika RI bersama dengan Badan Siber dan Sandi Negara (BSSN) dan Tokopedia telah membentuk tim khusus guna menginvestigasi secara mendalam terhadap kebocoran data ini.
Berita Terkait:
- Soal Pelanggaran Data Pengguna, idEA: Lihat dengan Adil, Tokopedia Korban
- Hai Toppers, Hati-hati Anda Rawan Serangan Phishing!
- Soal Kasus Tokopedia, Mana Aksi Pemerintah?
- Password Tokopedia yang Bocor Dienkripsi Algoritma MD5, Amankah?
Diklaim Aman
Sebelumnya VP of Corportate Communications Tokopedia, Nuraini Razak, mengatakan, sehubungan dengan beredarnya informasi kebocoran data akun pengguna, perusahaan tengah menginvestigasi mendalam.
“Namun kami sudah memastikan, bahwa tidak ada kebocoran password yang dapat digunakan untuk login ke akun Anda,” tutur dia.
Tokopedia mengklaim data pembayaran pengguna tidak terdampak atau dipastikan tidak bocor.
“Tokopedia memastikan tidak ada kebocoran data pembayaran,” kata Nuraini Razak dalam pernyataan tertulisnya pada Minggu (3 Mei 2020) yang diterima Cyberthreat.id.
Pada Rabu (6 Mei 2020), melalui kuasa hukumnya Akhmad Zaenuddin, Komunitas Konsumen Indonesia (KKI) menggugat Menteri Kominfo RI (Tergugat I) dan PT Tokopedia (Tergugat II).
Gugatan terdaftar secara e-court (online) di Pengadilan Negeri Jakarta Pusat Nomor Pendaftaran Online: PN JKT.PST-0520201XD tertanggal 06 Mei 2020.
Pengajuan gugatan terkait dengan kesalahan dari Tokopedia selaku penyelenggara sistem elektronik dalam menyimpan dan melindungi kerahasiaan data pribadi dan hak privasi akun para pengguna situs belanja online Tokopedia.com.
Pada pokok perkara gugatan, KKI meminta sejumlah tuntutan, di antaranya agar pengadilan (1) memerintahkan menkominfo mencabut Tanda Daftar Penyelenggara Sistem Elektronik atas nama PT Tokopedia, (2) memerintahkan kepada menkominfo menghukum PT Tokopedia untuk membayar denda administratif sebesar Rp 100 miliar.
“Denda tersebut harus disetor ke kas negara paling lambat 30 hari kalender sejak putusan perkara ini berkekuatan hukum tetap,” tuntut KKI.[]
Redaktur: Andi Nugroho