Kompas.com - 03/05/2020, 03:33 WIB
- -
|

KOMPAS.com - Situs e-commerce Tokopedia dilaporkan mengalami usaha peretasan. Data pengguna Tokopedia diduga telah diretas dan bocor di dunia maya.

Jumlahnya tak tanggung-tanggung, sebanyak 15 juta (belakangan jumlah data yang diretas dilaporkan bertambah, menjadi 91 juta) pengguna Tokopedia yang terimbas.

Informasi kebocoran tersebut pertama kali diungkap akun Twitter @underthebreach. Menurut akun tersebut, data jutaan pengguna Tokopedia tersebut telah disebarkan di forum online.

Peretasan disebutkan terjadi pada Maret 2020 dan sang hacker disebutkan memiliki lebih banyak data lagi, di luar 15 juta pengguna yang telah tersebar datanya.

Baca juga: Data Pengguna Tokopedia Bocor, Cek Apakah Akun Anda Terdampak

Data yang dikumpulkan termasuk nama pengguna, e-mail, dan hash password yang tersimpan di dalam sebuah file database PostgreSQL.

Selain hash password, nama, dan alamat e-mail, data yang diretas juga mencakup tanggal lahir, kode aktivasi e-mail, kode reset password, detail lokasi, ID messenger, hobi, pendidikan, waktu pembuatan akun hingga waktu terakhir log-in.

Namun, dalam daftar akun yang terkumpul di database berjenis PostgreSQL itu, disinyalir tidak disertakan dengan kode spesifik atau biasa disebut "salt".

Rangkaian kode salt ini berguna untuk melindungi kata sandi pengguna dengan algoritma. Dengan demikian, diperlukan waktu bagi peretas untuk menebak serta membobol akun pengguna.

Baca juga: Daftar 25 Password Terburuk Sepanjang 2019

Pernyataan Tokopedia

Pihak Tokopedia pun mengakui bahwa ada upaya peretasan data milik pengguna.

"Berkaitan dengan isu yang beredar, kami menemukan adanya upaya pencurian data terhadap pengguna Tokopedia," kata VP of Corporate Communications Tokopedia, Nuraini Razak.

Meski membenarkan adanya upaya pencurian data, Tokopedia mengklaim bahwa informasi milik pengguna tetap aman dan terlindungi. Nuraini mengatakan, password milik pengguna telah terlindungi dan dienkripsi.

Selain itu, Tokopedia mengklaim telah menerapkan sistem kode OTP (one-time password) yang hanya bisa diakses secara real time oleh pemilik akun.

Meskipun begitu, Nuraini mengimbau agar pengguna tetap mengganti password akun secara berkala agar tetap aman. Tokopedia mengaku sedang menindak lanjuti masalah ini.

"Saat ini, kami terus melakukan investigasi," jelas Nuraini dalam keterangan resmi yang diterima KompasTekno, Sabtu (2/5/2020) malam.

Ilustrasi hacker.SCMP Ilustrasi hacker.
Komentar ahli keamanan siber

Tokopedia mengklaim data penggunanya tetap aman meski ada usaha peretasan. Namun benarkah data pengguna Tokopedia aman?

Untuk memastikan hal ini, KompasTekno pun menghubungi praktisi keamanan siber dari Vaksin.com, Alfons Tanujaya terkait dugaan pembobolan akun Tokopedia ini.

Menurut Alfons, data yang tersebar tersebut memang benar merupakan database pengguna Tokopedia.

Kendati demikian menurut Alfons, hanya username saja yang terpapar, sementara password-nya di-hash. Secara teknis, hash sulit untuk dipecahkan.

"Data hash kira-kira mirip seperti data password yang dienkripsi dengan public key, dan yang terlihat adalah data yang sudah diacak dan pengacakan itu satu arah," tutur Alfons.

Baca juga: Data 91 Juta Pengguna Tokopedia dan 7 Juta Merchant Dilaporkan Dijual di Dark Web

"Kalau mau membandingkan kekuatan hash, kira-kira seperti diminta untuk mendekripsi data yang dienkripsi oleh ransomware," kata Alfons.

Sebagai informasi, hash adalah suatu metode enkripsi yang dapat mengubah data yang di input berupa teks (semacam password) menjadi output seperti kode acak.

"Dan server bekerja sebenarnya bukan mendekripsi data tetapi hanya membandingkan data password yang sudah di-hash," ungkap Alfons.

Alfons kemudian memberikan contoh sederhana. Misalnya, apabila password-nya adalah "12345", lalu di-hash akan menjadi "ker2k3k".

Maka server akan membandingkan password yang disimpannya, dan hanya melihat apakah hash dari password yang dimasukkan itu benar "ker2k3k".

"Jadi tidak pernah didekripsi. Jadi sekalipun admin server-nya sendiri mengkopi data, dia dapatnya "ker2k3k" dan tidak bisa digunakan untuk login karena itu sudah di-hash," pungkas Alfons.

Baca juga: Cara Ganti Password, Aktifkan 2FA, dan Hapus Akun Pembayaran di Tokopedia yang Diduga Bocor Datanya

Penjelasan di atas mengasumsikan password diamankan dengan metode hashing. Belakangan diketahui data password pengguna Tokopedia yang tersebar tersebut diamankan menggunakan metode salting.

Metode tersebut merupakan pengamanan tingkat lanjut dari metode hash. Metode salt ini disebut lebih aman ketimbang hash.

Inti dari pernyataan praktisi ini, password dari akun pengguna Tokopedia kemungkinan besar tetap aman sesuai klaim Tokopedia. Meski demikian, informasi penting lain milik pengguna bisa saja sudah dimiliki peretas dan dapat dimanfaatkan untuk kejahatan.

Langkah pertama yang perlu dilakukan pengguna adalah mengganti password dan mencopot layanan keuangan yang terhubung dengan akun Tokopedia.

Baca juga: Tips Membuat Password Paling Aman dari Pakar Sekuriti

Dapatkan update berita pilihan dan breaking news setiap hari dari Kompas.com. Mari bergabung di Grup Telegram "Kompas.com News Update", caranya klik link https://t.me/kompascomupdate, kemudian join. Anda harus install aplikasi Telegram terlebih dulu di ponsel.



Video Pilihan

Rekomendasi untuk anda
26th

Tulis komentarmu dengan tagar #JernihBerkomentar dan menangkan e-voucher untuk 90 pemenang!

Syarat & Ketentuan
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE
Laporkan Komentar
Terima kasih. Kami sudah menerima laporan Anda. Kami akan menghapus komentar yang bertentangan dengan Panduan Komunitas dan UU ITE.

Terkini Lainnya

Pengguna Indosat Ooredoo Keluhkan Gangguan Selasa, 17 Mei Malam

Pengguna Indosat Ooredoo Keluhkan Gangguan Selasa, 17 Mei Malam

Internet
Elon Musk Ancam Tak Lanjutkan Akuisisi Twitter Gara-gara Akun Bot dan Spam

Elon Musk Ancam Tak Lanjutkan Akuisisi Twitter Gara-gara Akun Bot dan Spam

e-Business
Cara Aktifkan Izin Lokasi untuk Daftar Prakerja Gelombang 29 di HP Android, iPhone, dan Laptop

Cara Aktifkan Izin Lokasi untuk Daftar Prakerja Gelombang 29 di HP Android, iPhone, dan Laptop

e-Business
Oppo A16K Resmi Meluncur di Indonesia, Harga Rp 2 Jutaan

Oppo A16K Resmi Meluncur di Indonesia, Harga Rp 2 Jutaan

Gadget
Apple Rilis iOS 15.5 dan iPadOS 15.5, Ini Fitur Barunya

Apple Rilis iOS 15.5 dan iPadOS 15.5, Ini Fitur Barunya

Software
Samsung Galaxy Z Flip 4 dan Z Fold 4 Disebut Sudah Masuk Tahap Produksi

Samsung Galaxy Z Flip 4 dan Z Fold 4 Disebut Sudah Masuk Tahap Produksi

Gadget
Elon Musk Tunda Pembelian Twitter gara-gara Akun 'Bot', Bos Twitter Menjelaskan

Elon Musk Tunda Pembelian Twitter gara-gara Akun "Bot", Bos Twitter Menjelaskan

Internet
Infinix Note 12 VIP Meluncur dengan Pengisi Daya Cepat 120 Watt

Infinix Note 12 VIP Meluncur dengan Pengisi Daya Cepat 120 Watt

Gadget
Apex Legends Mobile Meluncur Global, Pemain di Indonesia Wajib Download Ulang

Apex Legends Mobile Meluncur Global, Pemain di Indonesia Wajib Download Ulang

Software
Jadwal Pertandingan Timnas Mobile Legends Indonesia di SEA Games 2021, Mulai Besok 18 Mei

Jadwal Pertandingan Timnas Mobile Legends Indonesia di SEA Games 2021, Mulai Besok 18 Mei

Software
Klasemen PUBG Mobile SEA Games 2021, Timnas Indonesia 'Belum Panas'

Klasemen PUBG Mobile SEA Games 2021, Timnas Indonesia "Belum Panas"

Internet
Menhub Budi Karya Pamer Keberhasilan Penanganan Mudik Lebaran 2022 di Changi Aviation Summit

Menhub Budi Karya Pamer Keberhasilan Penanganan Mudik Lebaran 2022 di Changi Aviation Summit

Internet
Samsung Luncurkan Galaxy Tab S6 Lite versi 2022, Siap Masuk Indonesia?

Samsung Luncurkan Galaxy Tab S6 Lite versi 2022, Siap Masuk Indonesia?

Gadget
Elon Musk Debat dengan Jack Dorsey soal Algoritma Twitter

Elon Musk Debat dengan Jack Dorsey soal Algoritma Twitter

Internet
Resmi Dibuka, Changi Aviation Summit Jadi Momentum Kebangkitan Penerbangan

Resmi Dibuka, Changi Aviation Summit Jadi Momentum Kebangkitan Penerbangan

e-Business
komentar di artikel lainnya
Close Ads X
Lengkapi Profil
Lengkapi Profil

Segera lengkapi data dirimu untuk ikutan program #JernihBerkomentar.