TEMPO.CO, Jakarta - Pakar keamanan siber dari Vaksincom Alfons Tanujaya menanggapi kabar bocornya data akun pengguna toko daring Tokopedia. Dia menerangkan bahwa Vaksincom telah melakukan tes untuk login akun orang lain melalui komputernya, dan langsung diminta verifikasi two factor authentication.

“Kelihatan untuk akun masih terlindungi dengan baik dan aman,” ujar dia saat dihubungi Senin, 4 Mei 2020.

Sebelumnya, kebocoran data Tokopedia diungkap oleh akun peretas pertama kali di Raid Forums pada Sabtu, 2 Mei 2020. Raid Forums adalah forum komunikasi seperti Reddit yang fokus pada kebocoran database, serangan 4chan (peretas internasional) dan informasi yang berhubungan dengan peretasan.

Bahkan, pemilik akun twitter @underthebreach menyebut aktor peretas telah menjual database Tokopedia sejumlah 91 juta akun seharga US$ 5.000 (Rp 74,5 juta) di Darknet.

Menurut Alfons, ada dua alasan kenapa akun pengguna Tokopedia masih terlindungi. Pertama, karena password terlindungi dalam Hash satu arah yang sangat sulit bahkan hampir mustahil dipecahkan, dan login akun dari perangkat lain diminta verifikasi yang hanya di kirim via WhatsApp, SMS, atau Google Authenticator pemilik akun.

“Jadi secara teknis akun relatif aman,” tutur dia. “Tapi, data lain yang bocor seperti email, tanggal lahir, nomor hand phone sangat rentan disalahgunakan.”

Biasanya, Alfons berujar, data tersebut bisa dijadikan sebagai database telemarketing, bisa juga menjadi sasaran phishing dan scam melalui SMS atau email yang memalsukan diri seakan-akan dari Tokopedia.

“Kalau (scam) dirancang dengan baik akan bisa mengelabui korbannya memberikan kredensial, misalnya email atau SMS yang dipalsukan dan mengaku dari Tokopedia memberikan voucher Ramadhan Rp 500 ribu dan meminta korbannya untuk login ke situs palsu,” kata Alfons memberikan contoh.

Namun, dia menambahkan, untuk Tokopedia belum ada laporan kasus phishing atau scam terjadi. “Tapi sudah terjadi di kasus kebocoran data lain seperti LinkedIn yang databasenya digunakan memeras orang,” kata dia menambahkan.

Sementara, VP Corporate Communication Tokopedia Nuraini Razak memastikan bahwa informasi penting pengguna seperti password, terlindungi. “Namun, meskipun password dan informasi krusial pengguna tetap terlindungi di balik enkripsi, kami menganjurkan pengguna Tokopedia untuk tetap mengganti password akunnya secara berkala demi keamanan dan kenyamanan," tutur Nuraini.