Baca tanpa iklan
Sebanyak 91 juta data akun pengguna layanan e-commerce Tokopedia bocor di Internet.
Penjual akun data pengguna Tokopedia di Raid Forums menggunakan nama Whysodank.
Pengguna Whysodank sendiri tercatat bergabung dengan forum ini sejak April 2020 dan memiliki akun VIP.
Raid Forums sendiri merupakan merupakan forum komunitas hacker di internet yang berisi informasi-informasi terkait dengan database bocoran data, hingga berbagi prank dan olokan.
Akun ini pertama kali membagikan postingan pada 23 April 2020.
Melansir info komputer, dalam postingan pertama itu, Whysodank memperkenalkan diri sebagai penjual beberapa data pribadi dalam jumlah besar dan kecil.
"Penawaran ini serius dan saya tak ingin membuang waktu. Saya akan mengirimkan sampel terlebih dulu dan kita akan mengatur pembayaran," tulisnya.
Pada Jumat 1 Mei 2020 pukul 15:19 PM ia membagikan postingan kedua dan menawarkan data Tokopedia yang menurutnya diretas pada Maret 2020.
"Saya memutuskan untuk membagikan sebagian dari timbunan data Tokopedia (yang diretas) pada Maret 2020," tulisnya di forum itu.
Lebih lanjut, ia tengah mencari seseorang yang bisa membuka hash dari password akun para pengguna Tokopedia.
Sebab, menurutnya hash itu mengandung algoritma yang tak diketahui.
"Saya akan membagikan 15 juta (data) dari banyak lagi," tulisnya.
Postingan ini langsung mendapat reaksi dari para pengguna forum tersebut.
Banyak pengguna yang menawarkan untuk membuka hash tersebut dan mencoba memecahkannya.
Pada Sabtu (2/5/2020) pukul 20:40 Whysodank lantas mengaku kalau ia memiliki seluruh data 91 juta pengguna Tokopedia.
Ia lantas menjualnya di dark web Empire Market.
Pada situs darkweb itu, akun Whysodank menggunakan nama pengguna ShinyHunters.
Akun Whysodank menawarkan 91 juta data akun pengguna Tokopedia alias seluruh pengguna layanan ecommerce itu. (screenshot Raid Forums)
Sebelumnya, Tokopedia dilaporkan mengalami peretasan, bahkan jumlahnya diperkirakan 91 juta akun dan 7 juta akun merchant, tidak lagi 15 juta seperti diberitakan sebelumnya. Padahal di tahun 2019, Tokopedia mengungkapkan bahwa ada sekitar 91 juta akun aktif di platformnya.
Artinya hampir semua akun di Tokopedia berhasil diambil datanya oleh peretas.
Pelaku menjual data di darkweb berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone dan password yang masih ter-hash atau tersandi.
Semua dijual dengan harga USD5.000 atau sekitar Rp74 juta.
Bahkan ada 14.999.896 akun Tokopedia yang datanya saat ini bisa didownload.
Pakar Keamanan Siber Pratama Persadha menjelaskan bahwa kejadian seperti ini harus direspons cepat oleh pihak Tokopedia dan juga para penggunanya. Karena ancaman penipuan dan pengambilalihan akun bisa terjadi kapan saja.
Pratama menjelaskan hacker bernama Whysodank pertama kali mempublikasikan hasil peretasan di Raid Forum pada Sabtu (2/5/2020).
Kemudian peretas ShinyHunters memposting thread penjualan 91 juta akun Tokopedia di forum darkweb bernama EmpireMarket.
Dari sinilah akun @underthebreach mempublikasikan peretasan Tokopedia ke publik Twitter.
“Memang data untuk password masih dienkripsi, namun tinggal menunggu waktu sampai ada pihak yang bisa membuka. Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password,” jelas Chairman Lembaga Riset Siber Indonesia CISSReC (Communication & Information System Security Research Center) ini.
Ditambahkan Pratama, meski password masih dalam bentuk acak, namun data lain sudah plain alias terbuka. Artinya semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet.
Misalnya mengirimkan link phising maupun upaya social engineering lainnya, karena itu seharusnya Tokopedia melakukan update dan informasi kepada seluruh penggunanya segera.
“Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan dilakukan adalah takeover akun. Lalu pelaku secara random akan mencoba melakukan take over akun medsos (media sosial) dan marketplace lainnya, karena ada kebiasaan penggunaan password yang sama untuk semua platform,” terang Pratama.
Untuk saat ini, Pratama menggarisbawahi bahwa yang bisa dilakukan pengguna Tokopedia adalah mengganti password dan mengaktifkan OTP (one time password) lewat SMS.
Lalu, mengganti semua password dari akun medsos dan platform marketplace selain di Tokopedia.
“Akibat peretasan Tokopedia ini bisa menjalar ke akun media sosial dan platform lainnya bila menggunakan email dan password yang sama. Terutama bagi admin akun medsos pemerintah dan lembaga harus cepat melakukan pengamanan akun sebagai langkah antisipasi,” jelasnya.
Pratama juga mengungkapkan bahwa saat dirinya mendapatkan sampel data dari forum, belum ada data kartu kredit maupun debet yang disebar pelaku. Harapannya data kartu tidak ikut menjadi salah satu yang berhasil diretas.
“Pihak Tokopedia harus bertanggungjawab atas kejadian ini karena data penggunanya diambil dan diperjualbelikan. Pihak Tokopedia wajib secara berulang-ulang, dengan menggunakan segala sarana media yang ada, mensosialisasikan apa saja yang harus dilakukan oleh para penggunanya, seperti ganti password akun dan mengaktifkan OTP, sampai semua penggunanya menyadari kebocoran ini dan mau mengganti password-nya” papar Pratama.
Diketahui, kejadian peretasan ini bukanlah yang pertama kali terjadi di tanah air.
Tahun lalu, Bukalapak juga mengalami hal serupa. Seharusnya ini menjadi peringatan keras pada setiap penyedia layanan di internet yang memakai banyak data masyarakat dalam kegiatannya.
Penetration test sudah seharusnya sesering mungkin dilakukan untuk mengetahui di mana saja letak celah keamanan. Situs marketplace akan selalu menjadi sasaran para peretas karena banyak menghimpun data masyarakat, terutama kartu kredit, kartu debit, dan dompet digital.
“Perkuat pengamanan sistemnya, investasi lebih banyak untuk cyber security. Penggunaan enkripsi harus merata terhadap semua data yang berhubungan dengan user, jangan hanya password seperti saat ini,” pungkas Pratama.
Cara Mengecek Akun Anda
Namun jika Anda penasaran apakah akun yang dimiliki juga terkena peretasan, ada beberapa tool yang bisa dicoba untuk mengetahuinya.
Tool ini cukup dengan mengunjungi tautan yang tersedia, tanpa perlu memasang atau menginstalnya.
Berikut diantaranya:
Have i been Pwned
Layanan ini bisa dilakukan dengan mengunjungi situs https://haveibeenpwned.com/.
Masukkan email ke kolom yang tersedia dan klik tombol "pwned?".
Nanti akan ditampilkan hasil apakah pernah kena hack atau tidak. Jika ditampilkan pernah kena hack, scroll ke bawah untuk melihat informasi mengenai akun apa saja yang pernah berhasil diretas oleh pembobol.
Mozilla sebagai pembuat browser Firefox juga membuat tool untuk mendeteksi kemungkinan pernah atau tidaknya penguna di-hack.
Sebelumnya login terlebih dahulu dengan akun yang terdaftar di browser Firefox.
Selanjutnya kunjungi tautan monitor.firefox.com.
Masukkan alamat email ke kolom yang tersedia dan tekan tombol Check for Breaches atau Periksa Pelanggaran Data.
Nantinya akan tampil informasi apakah email tersebut aman atau pernah di-hack. (info komputer)