Baca tanpa iklan
TRIBUN-TIMUR.COM-Setelah kabar puluhan juta data pelanggan Tokopedia diretas, kini giliran data pelanggan platform jual beli barang elektronik, Bhinneka.com dijual ke situs gelap.
Kelompok bernama ShinyHunters mengklaim telah meretas sepuluh perusahaan dan saat ini telah menjual basis data pengguna mereka masing-masing di pasar web gelap untuk produk ilegal.
Mengutip www.zdnet.com, Minggu (10/5/2020) melaporkan selain menjual 91 juta data pelanggan Tokopedia, peretas itu juga menjual 1,2 juta data pelanggan Bhinneka.com.
Mendapat laporan itu Group Head Brand Communication & Public Relation (BCPR) Bhinneka.com, Astrid Warsito mengatakan, bahwa pihaknya masih melakukan investigasi atas peretasan data pelanggan Bhinneka.com.
"Kami mohon maaf atas ketidaknyamanan dan kemungkinan kekhawatiran yang muncul sehubungan dengan pemberitaan peretasan data akun pengguna Bhinneka.Com," kata dia dalam keterangan tertulis yang diterima Kontan.co.id, Minggu (10/5/2020).
Dia menjelaskan, hingga saat ini, Bhinneka.com masih melakukan investigasi yang mengenai kebenaran berita tersebut dan juga melakukan investigasi di sistem internal Bhinneka sehubungan dengan dugaan tersebut.
Namun demikian, kata Astrid, keamanan dan kenyamanan pelanggan saat berbelanja di Bhinneka.Com selalu menjadi prioritas perusahaan yang telah menerapkan standar keamanan global PCI DSS (Payment Card Industry Data Security Standard) dari TUV Rheinland untuk melindungi pelanggan.
"Kami menghimbau pelanggan untuk segera melakukan penggantian password sebagai langkah pencegahan," imbuh dia.
Beberapa langkah bisa dilakukan agar pelanggan bisa merasa aman:
1. Mengganti password secara berkala dan ini saat yang tepat untuk mengganti yang baru.
2. Tidak menggunakan password yang sama untuk berbagai layanan
3. Menggunakan email yang berbeda untuk aktivitas transaksi online
4. Segera gunakan strong password: minimum 8 (delapan) karakter, kombinasi huruf besar dan kecil, kombinasi angka, jangan gunakan identitas atau informasi terkait dengan diri Anda, dan kombinasi simbol, Contoh: Bh1nnek@123
Astrid mengatakan, para pelanggan bisa mengikuti panduan cara mengubah kata sandi yang bisa dilihat di https://www.bhinneka.com/member/account
"Kami informasikan juga bahwa password pelanggan di database selalu dienkripsi. Kami tidak menyimpan data kartu kredit ataupun debit, semua data pembayaran langsung terkoneksi dengan payment gateway. Selain itu tidak ada uang elektronik atau digital goods lainnya yang datanya tersimpan di sistem kami," ujar dia.
Ia menerangkan, dengan melakukan langkah pencegahan tersebut, artinya setiap pelanggan turut membantu Bhinneka.com untuk menjaga keamanan akun pengguna.
Data 91 Juta Pelanggan Tokopedia Dijual ke Situs Gelap
Tokopedia di-hack, sebanyak 91 juta data pengguna dan lebih dari tujuh juta data merchant Tokopeda bocor.
Diduga jutaan data akun itu dijual di situs gelap (dark web).
Warganet Tanah Air tengah dihebohkan dengan kabar Tokopedia kena hack pada Sabtu (2/5/2020).
Puluhan juta data pengguna Tokopedia dikabarkan bocor dan bahkan dijual oleh pihak tidak bertanggung jawab.
Lantas seperti apa kebenarannya?
Bagaimana pula tanggapan resmi pihak Tokopedia terkait kabar kebocoran data tersebut.
Dikutip dari Kompas.com, berikut ini 5 fakta Tokopedia kena hack selengkapnya.
1. 91 juta data pengguna bocor
Informasi Tokopedia di hack muncul dari akun Twitter @underthebreach, yang familiar dengan isu peretasan.
Dalam kicauan tersebut, data pengguna dan merchant tersebut dijual dengan harga 5.000 dollar AS atau Rp 74 juta (kurs saat berita ini dibuat) di situs gelap.
Akun tersebut menambahkan jika peretasan terjadi pada Maret 2020 dan sang hacker disebutkan memiliki lebih banyak data lagi, di luar 15 juta pengguna yang telah tersebar datanya.
Belakangan jumlah data yang diretas dilaporkan bertambah, menjadi 91 juta.
Jumlah pengguna Tokopedia sendiri hingga akhir 2019 lalu diprediksi mencapai 90 juta.
Data pengguna Tokopedia yang bocor tersebut berupa nama pengguna, e-mail, dan hash password yang tersimpan di dalam sebuah file database PostgreSQL.
Selain hash password, nama, dan alamat e-mail, data yang diretas juga mencakup tanggal lahir, kode aktivasi e-mail, kode reset password, detail lokasi, ID messenger, hobi, pendidikan, waktu pembuatan akun hingga waktu terakhir log-in.
Namun, dalam daftar akun yang terkumpul di database berjenis PostgreSQL itu, disinyalir tidak disertakan dengan kode spesifik atau biasa disebut "salt".
Rangkaian kode salt ini berguna untuk melindungi kata sandi pengguna dengan algoritma. Dengan demikian, diperlukan waktu bagi peretas untuk menebak serta membobol akun pengguna.
2. Tokopedia benarkan adanya upaya pencurian
Pihak Tokopedia pun mengakui bahwa ada upaya peretasan data milik pengguna.
"Berkaitan dengan isu yang beredar, kami menemukan adanya upaya pencurian data terhadap pengguna Tokopedia," kata VP of Corporate Communications Tokopedia, Nuraini Razak.
Meski membenarkan adanya upaya pencurian data, Tokopedia mengklaim bahwa informasi milik pengguna tetap aman dan terlindungi.
Nuraini mengatakan, password milik pengguna telah terlindungi dan dienkripsi.
Selain itu, Tokopedia mengklaim telah menerapkan sistem kode OTP (one-time password) yang hanya bisa diakses secara real time oleh pemilik akun.
Meskipun begitu, Nuraini mengimbau agar pengguna tetap mengganti password akun secara berkala agar tetap aman.
Tokopedia mengaku sedang menindak lanjuti masalah ini.
"Saat ini, kami terus melakukan investigasi," jelas Nuraini dalam keterangan resmi yang diterima KompasTekno, Sabtu (2/5/2020) malam.
3. Ovo pastikan aman
Head of Public Relation OVO, Sinta Setyaningsih memastikan bahwa layanan pembayaran aman, dan data perusahaan serta pengguna OVO terlindungi dengan baik.
"OVO dan data-data perusahaan terlindungi dengan baik, termasuk data pengguna serta merchant," ujar Sinta saat dihubungi Kompas.com pada Minggu (3/5/2020).
Ia menjelaskan, OVO telah menerapkan sistem keamanan berlapis untuk melindungi data pengguna dari serangan siber.
Selain itu, lanjut Sinta, sistem keamanan dan perlindungan OVO terdiri dari beberapa tahap dan dilengkapi dengan notifikasi keamanan.
"Fitur keamanan OVO meliputi OTP, PIN, dan notifikasi bila akun OVO diakses oleh perangkat elektronik yang berbeda," ujar Sinta.
"OVO memiliki sistem pengamanan data dan informasi yang tunduk pada peraturan pemerintah serta standar global terkait perlindungan dan keamanan data," lanjut dia.
Dengan adanya dugaan data pengguna Tokopedia bocor, Sinta mengimbau kepada pengguna OVO untuk secara rutin mengubah OVO PIN.
Langkah ini dinilai penting sebagai upaya pengamanan lebih baik serta tidak membagikan OVO PIN dan OTP kepada pihak mana pun.
4. Kekhawatiran pengguna
Mengetahui kabar kebocoran data ini, tak sedikit pengguna Tokopedia yang menanyakannya melalui akun Twitter, dengan me-mention akun Twitter @Tokopedia @TokopediaCare dalam kicauannya.
"Halo @tokopedia apakah berita kebocoran data itu benar, saya sbg pengguna Tokped agak was-was #Tokopedia," tulis akun @Rachman_khalid.
"@tokopedia hacked?? mungkin @TokopediaCare bs mengkonfirmasi??" tulis akun @MKZxRoel.
Ada pula pengguna yang mengeluh dan mengkhawatirkan data pribadi mereka.
"Speak up PLEASE. hadu data2 nya gmna itu bisa di hack!!! kan jd ga tenang gue ;( @tokopedia," tulis akun @Shining99_.
Hingga berita ini ditulis, pihak Tokopedia belum memberikan pernyataan di akun media sosial mereka termasuk Twitter dan Instagram.
5. Antisipasi keamanan
Meski pihak Tokopedia mengklaim informasi password milik pengguna tetap aman, tidak ada salahnya untuk mengecek apakah e-mail Anda ikut terdampak.
Pengecekan bisa dilakukan di situs Have I Been Pwned.
Situs ini bisa mengidentifikasi apakah alamat e-mail yang digunakan untuk akun layanan online pernah terekspos oleh insiden kebocoran data atau tidak.
Berdasarkan pantauan KompasTekno, Minggu (3/5/2020), situs Have I Been Pwned sudah menyertakan informasi kasus kebocoran data Tokopedia, dengan jumlah alamat e-mail terdampak yang ditaksir mencapai 12 juta.
Pengguna e-commerce itu pun bisa melihat apakah e-mail akun miliknya ikut bocor atau tidak. Ketika dicoba oleh tim KompasTekno, ternyata ada beberapa orang yang terdampak kasus bocornya data pengguna Tokopedia.
Cara untuk melakukan pengecekan mudah saja.
Setelah situs terbuka, masukan alamat e-mail yang digunakan untuk mendaftar akun online.
Kemudian klik tombol "pwned" di sisi kanan.
Situs tersebut lalu akan menelusuri database dan akan menginformasikan apabila alamat e-mail tersebut pernah masuk dalam kasus kebocoran data.
Laman Have I Been Pwned juga akan memberikan informasi akun di platform mana saja yang terdampak.
Apabila terdampak, sebaiknya segera mengganti password dan aktifkan sistem verifikasi dua langkah untuk meningkatkan perlindungan akun.
Ganti juga password layanan online lain yang menggunakan kata kunci serupa.(*)
Sebagian artikel ini telah terbit di Kontan.co.id dengan judul Diduga data 1,2 juta pelanggan Bhinneka.com diretas, Bhinneka: Cepat ganti password