Network
BANDUNG,(PRFM) - Seorang peretas dalam salah satu forum bernama RaidForums mengklaim telah meretas Tokopedia pada Maret lalu dan mengantongi data dari 15 juta pelanggan.
Adapun data yang tersebar adalah nama pengguna, e-mail, dan hash password yang tersimpan dalam sebuah database PostfreSQL.
Pengamat Keamanan Internet dari Vaksincom, Alfons Tanujaya meminta pengguna Tokopedia untuk mengubah password atau kata sandi akun mereka.
"Jangan panik tapi disarankan mempraktikan scurity (keamanan) yang baik, anda harus ganti password (akun Tokopedia)," kata Alfons saat On Air di Radio PRFM 107.5 News Channel, Minggu (3/5/2020).
Baca Juga: Tak Hanya Perkara Ibadah, Puasa Juga Ternyata Bisa Cegah Penuaan Dini
Hal itu dia katakan, karena jika password tidak diganti akan berisiko besar. Peretas kata dia, mendapatkan data nama pengguna, e-mail dan hash password. Artinya bukan password, karena password dalam keadaan terenkripsi.
"Dalam keadaan terenkripsi itu kira-kira seperti begini, kalau komputer kita kena Ransomware (perangkat pemeras) lalu diacak datanya, yang punya kunci untuk membuka data itu adalah pembuat ransomware-nya, dia minta uang, kalau kita bayar, baru bisa dikasih kuncinya. Namun dalam kasus ini password itu kuncinya disimpan dalam server Tokopedia, orangnya (peretas) tidak bisa buka tanpa mengetahui kuncinya," kata dia.
Risiko bagi pengguna dengan bocornya data Tokopedia ini kata dia, adalah mereka bisa menjadi korban phishing dan scam.
Phising adalah teknik penipuan dengan memancing korban agar memasukkan data pribadi mereka termasuk akun dan kata kunci akun mereka di situs palsu.
Peretas akan mengirimkan tautan yang terhubung dengan laman yang mirip dengan akun yang akan diretas
"Misal 'Anda mendapatkan berkah Ramadan dari Tokopedia, silakan klik disini untuk login dan dapatkan hadyah Rp1 juta'. Waktu diklik akan masuk ke situs phising yang memalsukan Tokopedia, lalu 'silakan masukan username dan password anda', karena dia (peretas) ga tau, cuma tahu username, password tidak bisa," kata Alfons.
Baca Juga: Petugas Perketat Pemeriksaan di Pos Check Point Patrol Kutawaringin
Skenario lain, lanjut Alfons adalah, jika peretas jago, dia bisa memecahkan hash password, kemudian bisa login.
"Kami sudah coba beberapa skenario, kami coba login dengan username dan password memakai akun orang lain. Pada saat itu sistem Tokopedia memunculkan Two Factor Authentication (TFA), dia (sistem) langsung curiga kalau biasanya login di komputer ini, IP nya ini, kok sekarang di komputer lain, dia (sistem) tahu kita login di komputer lain. Setelah itu keluar pop up TFA lagi, perlu konfirmasi lagi," kata dia.
Setelah itu sistem mengharuskan untuk memasukan password sekali pakai yang dikirim ke e-mail atau nomor telepon pengguna. Karena password sekali pakai hanya dikirim ke perangkat pengguna saja, peretas tidak bisa login.
"Dengan skenario itu, kami tidak bisa login, ini berarti peretas juga tidak bisa. Kalaupun hash password bisa dipecahkan, itu tetap tidak akan bisa login," kata Alfons.
Baca Juga: Salut! Jabar Quick Response Luncurkan Gerakan Lumbung Mikro
Oleh karena itu dia meminta pengguna Tokopedia untuk mengubah password akun mereka.
Kejadian ini menurutnya harus menjadi pembelajaran bagi Tokopedia dan penyedia layanan lain untuk memperhatikan keamanan database mereka.****
