Gawat, 91 Juta Data Pengguna Tokopedia di Dark Web Bisa Diunduh Gratis di Forum

Ilustrasi Keamanan Siber, Enkripsi. Kredit: Pixabay/geralt-9301

Liputan6.com, Jakarta - Pada awal Mei lalu Tokopedia diterpa isu kebocoran data jutaan akun penggunanya. Saat itu, akun yang terkait dengan aktivitas ini berniat menjual 91 juta data pengguna Tokopedia. Data yang saat itu dibanderol senilai USD 5.000 atau sekitar Rp 70 jutaan itu kini bisa diunduh secara cuma-cuma.

Pada Sabtu (4/7/2020) sore, salah satu anggota grup Facebook terkait keamanan siber dengan sekitar 15 ribu anggota berbagi tautan untuk mengunduh 91 juta data Tokopedia sebanyak secara gratis.

Saat ditelaah, tautan itu merujuk pada salah satu akun bernama @Cellibis di Raidsforum yang memang telah membagikan data itu pada Jumat (3/7/2020). Akun itu berbagi secara hampir cuma-cuma di forum itu, yang sebelumnya dia peroleh dengan membeli data itu di Dark Web senilai USD 5.000.

Dalam keterangannya Minggu (5/7/2020), pakar keamanan siber Pratama Persadha menyatakan Tokopedia sudah semestinya bertanggung jawab karena data pengguna yang mereka kelola bocor dan tentu banyak pihak akan memanfaatkannya untuk tindak kejahatan. Ini menjadi bukti bahwa Tokopedia benar-benar telah diretas.

"Meski gratis, [proses] pengunduhan juga tidak mudah. File ini disimpan di server Amerika, sehingga [mereka yang berminat mengunduh data ini] harus menggunakan VPN dengan IP Amerika," ujar chairman Lembaga Riset Siber Indonesia CISSReC tersebut kepada Tekno Liputan6.com.

Raidforums, kata Pratama, juga memiliki mata uang tersendiri dan semua member yang mendaftar di forum itu terlebih dahulu dapat menggunakannya.

"Member bisa mendepositkan uang melalui layanan Paypal minimal sebesar 8 Euro, lalu akan mendapatkan 30 Credit," tutur Pratama menambahkan.

2 dari 4 halaman

Ukuran Akhir Data 28,5GB

Selain itu, ujar Pratama, untuk mendapatkan data 91 juta akun Tokopedia seseorang perlu melakukan pembayaran senilai 8 Credit. Jika pembayaran selesai, tautan untuk mengunduh data itu akan muncul dan hasil akhir unduhannya tersedia dalam format .zip dengan ukuran 9,5GB, yang kemudian menjadi data dalam format .txt sebesar 28,5GB setelah melalui proses ekstraksi.

"Tapi tidak lantas kita bisa membuka file teks sebesar itu, harus ada aplikasi khusus semisal UltraEdit untuk bisa membukanya. Setelah itu kita bisa melihat data sebanyak 91.174.216 yang berisikan nama lengkap, nama akun, email, toko online, tanggal lahir, nomor HP, tanggal mendaftar, serta beberapa data yang terenkripsi berbentuk hash. Lalu dengan mudahnya dengan fitur pencarian, keyword email atau nomor telepon yang ingin dicari bisa dengan mudah ditemukan," kata Pratama.

3 dari 4 halaman

58 anggota forum sudah mengunduh

Hingga Minggu (5/7/2020) pukul 10.00 WIB, tautan untuk mengunduh data 91 juta akun Tokopedia masih bisa diakses dan sudah ada 58 anggota yang telah mengunduhnya. Di sana tertulis masa berlaku tautan hanya hingga 5 hari ke depan. Adapun data yang bocor, itu sama seperti data yang banyak dibahas pada awal Mei 2020 lalu, yaitu data yang ditambang per Maret 2020.

"Kebocoran ini kembali membuktikan betapa lemahnya regulasi perundang-undangan kita yang menaungi wilayah siber dan data pribadi. Sekali lagi, RUU Perlindungan Data Pribadi [RUU PDP] harus segera diselesaikan dan wajib mengatur sanksi serta standar teknologi yang dijalankan untuk penyelenggara sistem elektronik," kata Pratam menegaskan.

4 dari 4 halaman

GDPR

Pratama menilai GDPR (General Data Protection Regulation) dapat menjadi contoh bagaimana seharusnya RUU PDP dan turunannya mengatur kasus semacam ini.

"Kalau data ini jatuh ke tangan orang yang tidak bertanggung jawab, sangat memungkinkan digunakan sebagai sumber dasar tindakan kriminal. Data yang sudah beredar ini bisa digunakan untuk tindak kejahatan. Misalnya, telemarketing palsu. Lalu yang paling berbahaya mengaku dari Tokopedia, menelepon calon korban karena nama, email dan nomor seluler jelas valid. Itu memudahkan para penipu meminta sejumlah uang mengaku dari pihak manapun termasuk tokopedia," tutur Pratama.

Lebih lanjut, bila hash function yang melindungi kata sandi pengguna dapat dipecahkan, pihak tidak bertanggung jawab dapat mengambil alih akun pengguna, jika pengguna tidak mengganti kata sandinya sejak kasus kebocoran data ini mengemuka.

Update:

Kami telah mencari thread dan user terkait dengan kebocoran data ini di forum tersebut. Sepertinya saat ini thread dan user itu sudah tidak lagi aktif.