TEMPO.CO, Jakarta - Chairman Lembaga Riset Siber Indonesia CISSReC (Communication & Information System Security Research Center) Pratama Persadha memperkirakan 91 juta akun di Tokopedia diretas beserta 7 juta akun merchant.

"Memang data untuk password masih dienkripsi, namun tinggal menunggu waktu sampai ada pihak yang bisa membuka. Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password,” kata Pratama melalui pernyataan tertulis, Ahad 3 Mei 2020.

Menurut dia, pada 2019, Tokopedia menginfokan ada sekitar 91 juta akun aktif pada platformnya. Artinya hampir semua akun di layanan jual beli daring tersebut berhasil diambil datanya oleh peretas.

Pratama mengatakan peretas menjual data tersebut di darkweb berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone dan password yang masih ter-hash atau tersandi. Semua dijual dengan harga US$ 5.000 atau sekitar Rp 74 juta. Bahkan ada 14,9 juta akun Tokopedia yang diretas tersebut datanya saat ini bisa didownload.

Menurut Pratama, sebuah akun peretas pertama kali mempublikasikan hasil peretasan di raid forum pada Sabtu 2 Mei 2020. Kemudian peretas lainnya memposting thread penjualan 91 juta akun Tokopedia di forum darkweb bernama EmpireMarket. Dari sinilah akun yang berbeda mempublikasikan peretasan Tokopedia ke publik Twitter.

Pratama mengatakan kejadian seperti ini harus secara cepat direspons Tokopedia dan juga para penggunanya. Karena ancaman penipuan dan pengambilalihan akun bisa terjadi kapan saja.

Walaupun beberapa akun password masih dalam bentuk acak, kata Pratama, data lain sudah plain alias terbuka. Artinya oknum peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet. Seperti mengirimkan link phising maupun upaya social engineering lainnya. Oleh karena itu, Pratama mengusulkan kepada Tokopedia melakukan pembaharuan informasi kepada seluruh penggunanya segera.

“Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan dilakukan adalah takeover akun. Lalu pelaku secara random akan mencoba melakukan take over akun medsos dan marketplace lainnya, karena ada kebiasaan penggunaan password yang sama untuk semua platform,” ungkap dia.

Pratama menganjurkan kepada pengguna Tokopedia untuk mengganti password dan mengaktifkan OTP (one time password) lewat SMS. Lalu mengganti semua password dari akun media sosial serta platform dagang daring lainnya.

“Akibat peretasan Tokopedia ini bisa menjalar ke akun media sosial dan platform lainnya bila menggunakan email dan password yang sama. Terutama bagi admin akun medsos pemerintah dan lembaga harus cepat melakukan pengamanan akun sebagai langkah antisipasi,” tuturnya.

Selanjutnya Pratama mengungkapkan, saat mendapatkan sampel data dari forum, belum ada data kartu kredit maupun debit yang disebar pelaku. Harapannya data kartu tidak ikut menjadi salah satu yang berhasil diretas.

Pratama mengatakan, kejadian seperti ini bukan insiden pertama kali di tanah air. Seharusnya ini menjadi peringatan keras pada setiap penyedia layanan di internet yang memakai banyak data masyarakat dalam kegiatannya.

Penetration test harus sesering mungkin dilakukan untuk mengetahui dimana saja letak celah keamanan. Situs marketplace akan selalu menjadi sasaran para peretas karena banyak menghimpun data masyarakat, terutama kartu kredit, kartu debit dan dompet digital.

“Perkuat pengamanan sistemnya, investasi lebih banyak untuk cyber security. Penggunaan enkripsi harus merata terhadap semua data yang berhubungan dengan user, jangan hanya password seperti saat ini,” tutur Pratama.

Menanggapi dugaan kebocoran data tersebut yang disebut Pratama, Tokopedia hingga saat ini masih bersikukuh identitas pelanggan dan kata sandi atau password pengguna platformnya masih terlindungi, meskipun ada upaya peretasan oleh orang tak bertanggung jawab.

"Tokopedia memastikan tidak ada kebocoran data dan pembayaran," kata Vice President of Corporate Communications Tokopedia Nuraini Razak dalam keterangan tertulis yang diterima Tempo, Ahad, 3 Mei 2020.

Dia menjelaskan untuk seluruh transaksi pembayaran di Tokopedia pun hingga kini masih terjaga dengan aman. "Termasuk informasi kartu debit, kartu kredit dan OVO," ucapnya.

EKO WAHYUDI