TEMPO.CO, Jakarta - VP of Corporate Communications Tokopedia Nuraini Razak buka suara soal 91 juta data penggunanya yang diduga bocor serta dapat diunduh secara bebas. Dia menegaskan, untuk data pengguna tersebut bukanlah upaya pencurian data dan informasi password baru, karena untuk saat ini Tokopedia masih tetap aman terlindungi di balik enkripsi.
"Kami telah melaporkan hal ini ke pihak kepolisian dan juga mengingatkan seluruh pihak untuk menghapus segala informasi yang memfasilitasi akses ke data yang diperoleh melalui cara yang melanggar hukum," kata Nuraini melalui pernyataannya kepada Tempo, Ahad malam, 5 Juli 2020.
Adapun informasi itu dikemukan oleh Lembaga riset siber CISSReC (Communication and Information System Security Research Center) pada Sabtu sore, 4 Juli 2020 yang menemukan link atau tautan yang berisi 91 juta data pengguna Tokopedia tersebar pada salah satu grup di Facebook. Data yang beberapa waktu lalu diduga bocor karena peretasan itu kini bahkan bisa diunduh secara bebas.
Pihaknya menyadari bahwa pihak ketiga yang tidak berwenang telah memposting informasi secara ilegal di media sosial dan forum internet terkait cara mengakses data pelanggan kami yang telah dicuri.
Nuraini mengatakan, Tokopedia telah menyampaikan informasi terkait insiden pencurian data ini secara transparan dan berkala kepada seluruh pengguna. Kemudian pihaknya juga sudah berkoordinasi dengan pemerintah dan berbagai pihak berwenang terkait insiden pencurian data ini.
Ia pun mengungkapkan Tokopedia juga telah menerapkan langkah-langkah keamanan sesuai standar internasional. "Kami juga telah mengarahkan pengguna kami atas langkah-langkah lebih lanjut yang harus mereka ambil untuk memastikan perlindungan data pribadi mereka," ucapnya.
Kepala CISSReC, Pratama Persadha mengatakan, tautan yang tersebar tersebut berasal dari salah satu akun bernama @Cellibis di forum Raidsforum. Link itu sudah dibagikan sejak Jumat, 3 Juli 2020. Akun tersebut membagikan secara hampir cuma-cuma di Raidforums yang sebelumnya dia dapatkan dari cara membeli. Akibatnya, data yang di darkweb dijual sebesar US$ 5.000 atau sekitar Rp 70 juta (kurs 14.000) itu kini bisa diunduh secara bebas.
"Meski gratis, pada saat pengunduhan juga tidak mudah. Dikarenakan file ini disimpan di server amerika sehingga harus menggunakan VPN dengan IP Amerika," kata Pratama melalui keterangan tertulis, Ahad 5 Juli 2020.
Dia menjelaskan, Raidforums memiliki mata uang tersendiri, dan semua anggota harus mendaftar terlebih dahulu untuk menggunakannya. "Member bisa mendepositkan uang melalui layanan Paypal minimal sebesar 8 euro yang jika dirupiahkan sebesar Rp 130 ribu akan mendapatkan 30 credit,” Pratama menjelaskan.
Lebih jauh, Pratama menjelaskan, bahwa pembayaran sudah dilakukan maka link hosting dari pihak ketiga akan muncul dan siap diunduh dengan hasil fileunduhan berbentuk format .zip dengan ukuran data sebesar 9,5Gb. Setelah itu unduhan mesti diekstrak dan dihasilkan file akhir berbentuk .txt sebesar 28,5 Gb.
Namun, kata Pratama, file sebesar itu tidak bisa dibuka langsung karena harus ada aplikasi khusus misalnya ultraedit untuk bisa membukanya. Setelah itu, menurutnya, orang yang mengunduh dapat melihat data sebanyak 91.174.216 yang berisikan nama lengkap, nama akun, email, toko online, tanggal lahir, nomor HP, tanggal mendaftar, serta beberapa data yang terenkripsi berbentuk hash.
Sebelumnya, pada Mei lalu ramai jutaan akun pengguna e-commerce Tokopedia diduga telah bocor. Bahkan, pemilik akun twitter @underthebreach menyebut aktor peretas telah menjual database Tokopedia sejumlah 91 juta akun seharga US$ 5.000 di darkweb. Adapun pihaknya mengklaim aksi peretasan telah dilakukan sejak Maret 2020.