Tokopedia mengakui adanya upaya pencurian data oleh hacker pada Sabtu 2 Mei 2020, walaupun perusahaan mengklaim informasi berharga seperti password dapat dilindungi. Data yang diduga bocor ini bukan cuma sebanyak 15 juta, tetapi mencapai 91 juta data yang kemudian dijual murah di dark web dengan harga 5.000 dolar AS atau sekitar Rp 73,4 juta.
Kemudian, para pakar keamanan siber langsung berusaha menelusuri jejak peretasan dan penjualan data pribadi itu di dark web atau dark net, sebuah situs web dan forum online yang terenkripsi sehingga tidak terindeks oleh mesin pencari (search engine) biasa.
Untuk mengakses dark web, orang memerlukan browser web khusus yang disebut Tor.
Pakar keamanan siber, Pratama Persadha dari Communication & Information System Security Research Center (CISSReC), mengungkap bahwa peretas data Tokopedia tersebut pertama kali mengumbar hasil retasannya menggunakan nama Whysodank lewat dark web Raid Forums pada Sabtu 2 Mei 2020. Dia mengumbar 15 juta data pengguna Tokopedia berupa email, username, tanggal lahir, nomor HP, dan hash password.
Raid Forums merupakan merupakan forum komunitas hacker di internet yang berisi informasi-informasi terkait dengan database bocoran data, hingga berbagi prank dan komunitas pengolok.
Di sini, peretas mencoba untuk meminta bantuan rekan hacker untuk membuka hash dari password akun para pengguna Tokopedia. Dia mengalami kesulitan untuk membuka password.
Hash merupakan sebuah algoritma yang mengubah suatu data informasi berupa huruf, angka, atau simbol menjadi karakter terenkripsi.
Fungsi hash biasanya dimanfaatkan untuk menyembunyikan, menyamarkan atau mengacak password asli.
Setelah itu, ada lagi peretas ShinyHunters mem-posting thread penjualan 91 juta akun Tokopedia di forum dark web bernama EmpireMarket.
Akun Twitter Under the Breach @underthebreach, mempublikasikan dua aksi pencurian data Tokopedia itu.
Pratama mengatakan bahwa ia belum bisa mengidentifikasi apakah peretasan ini dilakukan secara perorangan atau berkelompok. Hingga saat ini, CISSReC masih mendalaminya.
Selain itu, Pratama menekankan bahwa meski password muncul dalam bentuk yang belum bisa dimanfaatkan oleh para hacker, namun data pribadi lain yang sudah dibuka bisa disalahgunakan oleh hacker. Misalnya mengirimkan link phising maupun upaya social engineering lain.
“Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan dilakukan adalah takeover akun. Lalu pelaku secara random akan mencoba melakukan take over akun medsos dan marketplace lainnya, karena ada kebiasaan penggunaan password yang sama untuk semua platform,” terang Pratama.
“Namanya hacker, kalau bisa masuk ke dalam sistem orang lain tentu nggak cuma sedikit data saja yang diambil, bisa jadi semuanya diambil tapi memang belum dipublikasikan. Ini kan mereka bisa masuk sampai ke databasenya Tokopedia,” ungkap Pratama.
Sementara untuk data pembayaran, Tokopedia memberi jaminan bahwa poin ini masih aman. "Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit dan OVO, di Tokopedia tetap terjaga keamanannya," kata Nuraini Razak, VP of Corporate Communications Tokopedia.
Untuk sementara, ada baiknya apabila para pengguna Tokopedia untuk mengganti password, lalu mengaktifkan sistem keamanan two-factor authentication dengan OTP (One Time Password) lewat SMS, dan mengantifkan PIN untuk verifikasi transaksi. Hal ini dapat mencegah hacker melakukan kejahatan lebih lanjut dengan data pengguna yang sudah berhasil dapatkan.
