TEMPO.CO, Jakarta - Tokopedia memastikan kata sandi atau password pengguna platformnya terlindungi, meskipun ada upaya pencurian data baru-baru ini. Belakangan, beredar kabar basis data 15 juta pengguna platform jual beli online tersebut bocor di dunia maya.
"Kami menemukan adanya upaya pencurian data terhadap pengguna Tokopedia, namun Tokopedia memastikan, informasi penting pengguna, seperti password, tetap berhasil terlindungi," ujar VP of Corporate Communications Tokopedia Nuraini Razak dalam keterangan tertulis yang diterima Tempo, Ahad, 3 Mei 2020.
Nuraini mengatakan perseroan selalu berupaya menjaga kerahasiaan data pengguna lantaran bisnis perusahaannya adalah bisnis kepercayaan. Menurutnya, Keamanan data pengguna merupakan prioritas utama Tokopedia.
"Meskipun password dan informasi krusial pengguna tetap terlindungi di balik enkripsi, kami menganjurkan pengguna Tokopedia untuk tetap mengganti password akunnya secara berkala demi keamanan dan kenyamanan," kata dia.
Di samping itu, ia berujar perseroan telah menerapkan keamanan berlapis, termasuk dengan OTP yang hanya dapat diakses secara real time oleh pemilik akun. Karena itu, perseroan selalu mengedukasi seluruh pengguna untuk tidak memberikan kode OTP kepada siapapun dan untuk alasan apapun.
Pakar keamanan siber dari Vaksincom Alfons Tanujaya menjelaskan soal keamanan kata sandi para pengguna Tokopedia setelah beredar kabar bocornya data dari perusahaan teknologi tersebut. Menurut Alfons, di dalam data yang bocor tersebut password pengguna ada dalam bentuk hash.
"Hash itu dienkripsi, sehingga tanpa mengetahui dekripsinya akan sulit untuk mendapatkan password-nya," ujar Alfons. Ia menuturkan pembobol bisa menggunakan metode brute force untuk mendapatkan kata sandi yang dilindungi tersebut, apabila Tokopedia tidak segera melakukan pemblokiran atau pencegahan atas cara tersebut.
Metode brute force bisa dihadapi dengan metode blokir apabila login gagal. "Jadi misalnya login gagal sekali itu ditahan dulu misal 20 menit, gagal dua kali tahan 40 menit, gagal tiga kali tahan satu jam, dan seterusnya," tutur Alfons. Dengan cara tersebut peretas akan sulit untuk membobol password itu.
Alfons kemudian menguji keandalan keamanan Tokopedia dengan mengasumsikan peretas memiliki username dan password. Ia mengatakan kalau pun kata sandi berhasil dikantongi peretas, platform itu sudah secara otomatis menerapkan two factor authentification sebagai perlindungan berlapis bagi pengguna.
Jadi, apabila pengguna masuk dalam platform baru akan diminta untuk melakukan verifikasi melalui WhatsApp atau pesan singkat alias SMS. Dari sana, pengguna akan menerima kode verifikasi untuk melanjutkan login.
"Kalau Anda tidak pernah login ke perangkat baru lalu mendadak muncul verifikasi, artinya kredensial Anda sudah bocor dan harus ganti kredensial," kata Alfons. "Jangan beri kode verifikasi kepada siapa pun meski ada yang mengaku dari Tokopedia."
