91 juta data pengguna Tokopedia diduga kembali bocor

Akun yang membocorkan Tokopedia pada Mei pernah menginformasikan memiliki dan akan menjual 91 juta data pengguna Tokopedia. Data itu diperjualbelikan seharga US$5.000 atau sekitar Rp70 juta dan kini bisa di download secara bebas.

"Pada Sabtu (4/7) sore, salah satu anggota pada sebuah grup Facebook terkait keamanan siber yang berisikan hampir 15 ribu anggota, memberikan link tautan untuk mengunduh data Tokopedia sebanyak 91 juta secara gratis," kata pakar keamanan siber Pratama Persadha, dalam keterangan tertulisnya, Minggu (5/7).

Saat ditelusuri, link tersebut bersumber pada akun bernama @Cellbris di forum Raidsforum yang memang sudah membagikan lebih dulu data tersebut pada Jumat (3/7). Akun tersebut membagikan secara hampir cuma-cuma di Raidforums yang sebelumnya didapatkan dari cara membeli data tersebut di darkweb senilai $5000.

Terkait itu, Pratama menjelaskan Tokopedia seharusnya bertanggung jawab karena data pengguna yang mereka kelola bocor, dan berpotensi disalahgunakan untuk tindak kejahatan. Hal itu sekaligus membuktikan Tokopedia benar-benar sudah diretas. Tidak seperti penjelasan Tokopedia sebelumnya yang mengatakan "hanya" terjadi upaya peretasan di platformnya.

“Meski gratis, ternyata tidak mudah melakukan pengunduhan. Dikarenakan file ini disimpan di server Amerika sehingga harus menggunakan VPN dengan IP Amerika. Raidforums memiliki mata uang tersendiri, dan semua member yang mendaftar terlebih dahulu bisa menggunakannya. Member bisa mendepositkan uang melalui layanan paypal minimal sebesar 8 euro yang jika dirupiahkan sebesar Rp130 ribu akan mendapatkan 30 credit,” jelas Chairman Lembaga Riset Siber Indonesia CISSReC (Communication and Information System Security Research Center) ini.

Ditambahkan Pratama dibutuhkan pembayaran untuk mendapatkan data 91 juta akun Tokopedia, yaitu seharga 8 credit. Jika sudah dilakukan, maka link hosting dari pihak ketiga akan muncul dan siap diunduh dengan hasil unduhan berbentuk format .rar dengan ukuran data sebesar 9,5Gb. Lalu setelah dilakukan ekstrak dihasilkan file akhir berbentuk .txt sebesar 28,5Gb.

“Tetapi tidak lantas bisa membuka file teks sebesar itu, harus ada aplikasi khusus semisal ultraedit untuk bisa membukanya. Setelah itu kita bisa melihat data sebanyak 91.174.216 yang berisikan nama lengkap, nama akun, email, toko online, tanggal lahir, nomor HP, tanggal mendaftar, serta beberapa data yang terenkripsi berbentuk hash. Lalu dengan mudahnya dengan fitur pencarian, keyword email atau nomor telepon yang ingin dicari bisa dengan mudah ditemukan,” terang pria asal Cepu Jawa Tengah ini.

Sampai pada pukul 10.00 WIB Minggu (5/7), tautan link untuk mengunduh data 91 juta akun Tokopedia masih bisa diakses dan sudah ada 58 anggota yang sudah mengunduhnya. Pada tautan tersebut tertulis link akan kadaluarsa sampai lima hari ke depan. Data yang bocor sama dengan awal Mei 2020, yaitu data yang diambil per Maret 2020.

“Adanya 91 juta data yang bocor ini membuktikan betapa lemahnya regulasi perundang-undangan kita yang menaungi wilayah siber dan data pribadi. Sekali lagi, RUU Perlindungan Data Pribadi harus segera diselesaikan dan wajib mengatur sanksi serta standar teknologi yang dijalankan untuk penyelenggara sistem elektronik,” tegasnya.

Pratama menjelaskan, tanpa aturan yang tegas setiap penyelenggara sistem elektronik baik negara maupun swasta tidak ada tekanan untuk membuat sistem dan maintenance terbaik. GDPR (General Data Protection Regulation) memberikan contoh bagaimana aturan turunannya memberikan list apa saja teknologi yang harus diaplikasikan, bila ada kebocoran data akan dilakukan pemeriksaan dan apabila ada hal yang belum dilakukan maka bisa dikenai tuntutan dengan nilai maksimum 20 juta euro.

"Kalau data ini jatuh ke tangan orang yang tidak bertanggung jawab, sangat memungkinkan digunakan sebagai sumber dasar tindakan kriminal. Data yang sudah beredar ini bisa digunakan untuk tindak kejahatan, Misalnya telemarketing palsu. Lalu yang paling berbahaya mengaku dari Tokopedia menelpon calon korban. Karena nama, email dan nomor seluler jelas valid. Memudahkan para penipu meminta sejumlah uang mengaku dari pihak manapun termasuk Tokopedia", terang Pratama.

Ditambahkan olehnya, bila para pelaku jago melakukan cracking hash, maka password memungkinkan diketahui dan selanjutnya bisa terjadi pengambilalihan akun. Bila seperti ini terus menerus terjadi, dia mempertanyakan di mana perlindungan keamanan siber bagi masyarakat? Karena disaat yang sama penyelenggara sistem transaksi elektronik juga sulit dimintai tanggung jawab.