Lewat Akun Tokopedia, Peretas Bisa Ambil alih Akun Sosmed dan Marketplace Lain
loading...
A
A
A
JAKARTA - Kabar peretasan yang terjadi pada 91 juta data pengguna dan lebih dari tujuh juta data merchant Tokopedia sangat membuat resah. Angka tersebut naik drastis dari informasi sebelumnya, sekitar 15 juta data pengguna yang diretas. Kegemparan ini muncul lewat cuitan akun Twitter @underthebreach.
Pelaku menjual data di situs gelap berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor telepon, dan password, yang masih dalam bentuk hash atau tersandi. Semua dijual dengan harga USD5.000 atau sekitar Rp74 juta. Bahkan, ada 14.999.896 akun Tokopedia yang datanya saat ini bisa didownload.
Dalam keterangannya, Minggu (3/5/2020), pakar keamanan siber, Pratama Persadha, kejadian seperti ini harus cepat direspon oleh pihak Tokopedia dan juga para penggunanya. Karena ancaman penipuan dan pengambilalihan akun bisa terjadi kapan saja.
Pratama menjelaskan, peretas bernama Whysodank, pertama kali memublikasikan hasil peretasan di raid forum pada Sabtu (2/5/2020). Kemudian, peretas bernama ShinyHunters, membagikan thread penjualan 91 juta akun Tokopedia di forum darkweb, bernama EmpireMarket. Dari sinilah akun @underthebreach menginformasikan terjadi peretasan Tokopedia ke publik melalui Twitter.
“Memang data untuk password masih dienkripsi, namun tinggal menunggu waktu sampai ada pihak yang bisa membuka. Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password,” jelas Pratama, yang juga chairman lembaga riset siber, CISSReC (Communication & Information System Security Research Center).
Dia menambahkan, meski password masih dalam bentuk acak, namun data lain sudah plain alias terbuka. Artinya, semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet. Misalnya, mengirimkan link phising maupun upaya social engineering lainnya.
Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan dilakukan adalah mengambilalih akun. Lalu pelaku secara random akan mencoba melakukan mengambilalih akun media sosial dan marketplace lainnya.
“Karena ada kebiasaan penggunaan password yang sama untuk semua platform,” imbuh Pratama.
Sementara itu, Yayasan Lembaga Konsumen Indonesia (YLKI) menduga sistem IT di Tokopedia tidak cukup andal sehingga gampang diretas oleh pihak lain.
YLKI meminta Tokopedia memberikan klarifikasi kepada publik, terkait sistem atau teknologi keamanan yang dipakai dalam perlindungan data pribadi. Serta apakah sistem perlindungan data pribadi di Tokopedia digaransi oleh pihak ketiga atau tidak.
YLKI juga mempertanyakan berapa lapis sistem keamaman perlindungan data pribadi yang digunakan Tokopedia. “YLKI meminta Pemerintah untuk turun tangan dalam kasus peretasan sistem IT di Tokopedia, guna memberikan perlindungan dan rasa aman konsumen,” kata Tulus Abadi, Ketua Pengurus Harian YLKI.
Pelaku menjual data di situs gelap berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor telepon, dan password, yang masih dalam bentuk hash atau tersandi. Semua dijual dengan harga USD5.000 atau sekitar Rp74 juta. Bahkan, ada 14.999.896 akun Tokopedia yang datanya saat ini bisa didownload.
Dalam keterangannya, Minggu (3/5/2020), pakar keamanan siber, Pratama Persadha, kejadian seperti ini harus cepat direspon oleh pihak Tokopedia dan juga para penggunanya. Karena ancaman penipuan dan pengambilalihan akun bisa terjadi kapan saja.
Pratama menjelaskan, peretas bernama Whysodank, pertama kali memublikasikan hasil peretasan di raid forum pada Sabtu (2/5/2020). Kemudian, peretas bernama ShinyHunters, membagikan thread penjualan 91 juta akun Tokopedia di forum darkweb, bernama EmpireMarket. Dari sinilah akun @underthebreach menginformasikan terjadi peretasan Tokopedia ke publik melalui Twitter.
“Memang data untuk password masih dienkripsi, namun tinggal menunggu waktu sampai ada pihak yang bisa membuka. Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password,” jelas Pratama, yang juga chairman lembaga riset siber, CISSReC (Communication & Information System Security Research Center).
Dia menambahkan, meski password masih dalam bentuk acak, namun data lain sudah plain alias terbuka. Artinya, semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet. Misalnya, mengirimkan link phising maupun upaya social engineering lainnya.
Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan dilakukan adalah mengambilalih akun. Lalu pelaku secara random akan mencoba melakukan mengambilalih akun media sosial dan marketplace lainnya.
“Karena ada kebiasaan penggunaan password yang sama untuk semua platform,” imbuh Pratama.
Sementara itu, Yayasan Lembaga Konsumen Indonesia (YLKI) menduga sistem IT di Tokopedia tidak cukup andal sehingga gampang diretas oleh pihak lain.
YLKI meminta Tokopedia memberikan klarifikasi kepada publik, terkait sistem atau teknologi keamanan yang dipakai dalam perlindungan data pribadi. Serta apakah sistem perlindungan data pribadi di Tokopedia digaransi oleh pihak ketiga atau tidak.
YLKI juga mempertanyakan berapa lapis sistem keamaman perlindungan data pribadi yang digunakan Tokopedia. “YLKI meminta Pemerintah untuk turun tangan dalam kasus peretasan sistem IT di Tokopedia, guna memberikan perlindungan dan rasa aman konsumen,” kata Tulus Abadi, Ketua Pengurus Harian YLKI.
(wbs)