Seorang peretas dalam salah satu forum bernama RaidForums mengklaim dia meretas Tokopedia pada Maret lalu dan mengantongi data dari 15 juta pelanggan.
Data yang diperoleh berupa email,hashkata sandi dan nama.
Antara sudah menghubungi Tokopedia, namun, hingga berita ini dibuat, mereka belum memberikan komentar.
Under the Breach@underthebreach Actor leaked the database of Tokopedia - a large Indonesian technology company specializing in e-commerce.
(@tokopedia)
- Hack occurred in March 2020 and affects 15,000,000 users though the hacker said there are many more.
- Database contains emails, password hashes, names
8.355
Info dan privasi Iklan Twitter
10,6rb orang memperbincangkan tentang ini
Baca juga:Tokopedia gelar kampanye Ramadhan dukung pedagang lokal
Baca juga:Tiga hal paling dicari di Tokopedia
Baca juga:Tokopedia luncurkan tiga inovasi baru untuk penjual dan pelanggan
Platform belanja online Tokopedia sedang menyelidiki dugaan peretasan yang mengakibatkan data 15 juta pengguna mereka bocor .
"Saat ini kami terus melakukan investigasi dan belum ada informasi lebih lanjut yang dapat kami sampaikan," kata VP of Corporate Communications Tokopedia, Nuraini Razak, dalam keterangan tertulis, Sabtu malam.
Seorang peretas dalam salah satu forum bernama RaidForums mengklaim dia meretas Tokopedia pada Maret lalu dan mengantongi data dari 15 juta pelanggan.
Baca juga:Data 15 juta pengguna Tokopedia dikabarkan bocor
Baca juga:Tokopedia gelar kampanye Ramadhan dukung pedagang lokal
Data yang diperoleh berupa email,hashkata sandi dan nama.
Tokopedia membenarkan ada upaya pencurian data terhadap pengguna Tokopedia, namun, mereka tidak menyebutkan apakah kejadiannya berlangsung pada Maret lalu.
"Namun, Tokopedia memastikan informasi penting pengguna sepertipasswordtetap berhasil terlindungi," kata Nuraini.
Tokopedia menjamin kata sandi dan informasi krusial pengguna dilindungi dengan enkripsi.
Unicorn tersebut menganjurkan pengguna untuk mengganti kata sandi secara berkala demi menjaga keamanan akun di platform belanja tersebut.
Platfom yang didirikan William Tanuwijaya tersebut memiliki keamanan berlapis denganone time passwordatau OTP, yang hanya bisa diakses dalam kurun waktu tertentu.
Tokopedia meminta pengguna untuk tidak memberikan kode OTP kepada siapa pun untuk keperluan apa pun.
Baca juga:Cerita para "engineer" perempuan
Baca juga:Tokopedia bebaskan ongkos kirim
Baca juga:Tiga hal paling dicari di Tokopedia
Setelah kabar tentang 15 juta data pengguna Tokopedia bocor, pakar keamanan siber dari Vaksin.com, Alfons Tanujaya, justru memperkirakan ada 91 juta data pengguna yang disebarkan dan di jual didark web.
"Menurut pantauan Vaksin.com, sebenarnya malah ada 91 jutadatabasedyang disebarkan didark webdan berusaha dijual dengan harga 5.000 dolar AS," kata Alfons saat dihubungi Antara di Jakarta, Minggu.
Menurut Alfons, jumlah tersebut bahkan sesuai dengan penyataan Tokopedia belum lama ini yang menyebut memiliki lebih dari 90 juta pengguna aktif bulanan. "Kalau ditawarkan sebanyak itu, harusnya memang benar. Itu juga terkonfirmasi dengan pernyataan Tokopedia," ujar Alfons.
Lebih lanjut, dia mengatakan informasi yang bocor adalahusername, alamat email, tanggal lahir dan nomor telepon. Kebocoran nomor telepon, menurut Alfons, cukup mengkhawatirkan, sebab dapat digunakan untuk rekayasa sosial, memalsukan diri sebagai Tokopedia misalnya, dengan iming-iming menang undian, lalu membohongi korban.
Baca juga:Tokopedia selidiki data pengguna yang bocor
Baca juga:Data 15 juta pengguna Tokopedia dikabarkan bocor
Di dalam data yang bocor, lanjut Alfons,passwordbentukhash, yang telah dienkrip, sehingga tanpa mengetahui kunci dekrip cukup sulit untuk mendapatkan password.
Menurut Alfons, seharusnya semua layananonlineyang mengeloladatabasedanpasswordmemang telah melakukan fungsihashinguntuk menyimpan semuapasswordagar jika terjadi kebocoran, makapasswordtetap aman.
Meskipasswordtelah dienkripsi, pembobolan dapat dilakukan dengan metodebrute force, upaya serangan dengan menggunakan algoritma yang menggabungkan huruf, angka dan simbol untuk menghasilkanpassword.
"Brute forceitu bisa terjadi kalau dari Tokopedianya tidak memblokir prosesbrute force, jadi kalau diblokir, login gagal sekali tahan dulu 10 menit, gagal dua kali tahan 20 menit, gagal tiga kali tahan satu jam, dan seterusnya, jadi secara teknis sangat sulit jika ada proteksibrute forceuntuk melakukanbrute forcedenganpasswordini," ujar Alfons.
Untuk mengantisipasi kemanan pengguna, Alfons menyarankan Tokopedia untuk memberikan perhatian ekstra pada pengamanan infrastruktur khususnya yang berhubungan dengan kredensial dandatabasepengguna, terlebih dalam masaWork From Home(WFH) seperti saat ini.
"Karena meningkatnyauserdan aktivitas selama WFH, otomatis meningkatkan beban kerja admin dengan luar biasa," kata Alfons.
Sementara itu, dalam keterangan tertulisnya, Minggu siang, VP of Corporate Communications Tokopedia, Nuraini Razak, menjamin tidak ada kebocoran data pembayaran.
"Tokopedia memastikan tidak ada kebocoran data pembayaran. Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit terjaga keamanannya," ujar Nuraini.
Pewarta: Natisha Andarningtyas
Editor: Alviansyah Pasaribu
