TEMPO.CO, Jakarta - Jutaan akun pengguna e-commerce Tokopedia telah bocor. Bahkan, pemilik akun twitter @underthebreach menyebut aktor peretas telah menjual database Tokopedia sejumlah 91 juta akun seharga US$ 5.000 (rp 74,5 juta) di Darknet.

Pakar keamanan siber dari Vaksin.com Alfons Tanujaya mengatakan informasi yang bobol adalah username, alamat email, tanggal lahir, dan nomor telepon. “Hampir 100 persen akun pengguna Tokopedia berhasil dijebol,” ujarnya kepada Tempo, 3 Mei 2020.

Alfons mengingatkan dua ancaman yang mungkin terjadi pada pemilik akun, yaitu phishing dan brute force. “Eksploitasi data email, nomor HP dan data sensitif lain seperti tanggal lahir itu sangat rentan untuk digunakan bagi kegiatan phishing, scam dan telemarketing,” ujarnya.

Dalam komputer, phishing atau pengelabuan adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi peka, seperti kata sandi dan kartu kredit, dengan menyamar sebagai orang atau bisnis yang tepercaya dalam sebuah komunikasi elektronik resmi, seperti surat elektronik atau pesan instan.

Sementara brute force murni memanfaatkan tenaga komputer membobol password.

Menurut Alfons, brute force mudah dicegah. “Tinggal kasih waktu saja, salah password satu kali pending 10 menit, salah dua kali pending 20 menit, salah tiga kali pending 40 menit, dan seterusnya, sehingga jadi tidak ampuh dan tidak bisa berjalan,” ujarnya.

Sementara jika terjadi phishing, kerugian yang terjadi tergantung korbannya. “Kalau berhasil dikelabui dan kurang updated, yah bisa saja tanpa sadar memasukkan kredensialnya ke situs palsu,” ujarnya.

Alfons mengatakan semua layanan online jadi sasaran peretas. Menurutnya, apa yang terjadi di Tokopedia masih relatif tidak terlalu berbahaya. “Masih bagus ada hash (terenkripsi) dan sudah menerapkan TFA (Two Factor Authentication), jadi akun pengguna aman,” ujarnya.

Berdasarkan pengetesan Vaksin.com, kata Alfons, jika ada yang mengetahui username dan password setelah berhasil dijebol, akan ada dua factor authentication.

"Jadi peretas akan meminta verifikasi ke WhatsApp atau SMS. Jika pengguna mengklik WhatsApp maka dikirim verifikasi ke WhatsApp dengan catatan user login dari perangkat baru."

"Jika Anda tidak pernah login dari perangkat baru, mendadak muncul verifikasi Tokopedia, artinya kredensial Anda bocor dan Anda harus menggantinya. Dan jangan pernah berikan kode verifikasi yang anda terima kepada siapapun, sekalipun dia mengaku dari Tokopedia," ujar Alfons.

Sementara itu, VP Corporate Communication Tokopedia Nuraini Razak membenarkan adanya upaya pencurian data terhadap pengguna platformnya. Namun, perseroan memastikan informasi penting pengguna, seperti password, tetap berhasil terlindungi.

"Meskipun password dan informasi krusial pengguna tetap terlindungi di balik enkripsi, kami menganjurkan pengguna Tokopedia untuk tetap mengganti password akunnya secara berkala demi keamanan dan kenyamanan," ujar Nuraini.