Jutaan Akun Tokopedia Dibobol dan Diperjualbelikan, Apa yang Bisa Kita Lakukan?

Baru-baru ini Indonesia dihebohkan dengan pembobolan 91 juta akun pengguna salah satu e-commerce terbesar di Indonesia, yakni Tokopedia. Informasi ini awalnya beredar melalui cuitan di akun @underthebreach tertanggal 2 Mei 2020 sebelum kemudian viral dan menjadi pembahasan di banyak situs berita. Akun tersebut juga melampirkan tangkapan layar berupa daftar data yang berhasil diunduh.

Actor leaked the database of Tokopedia – a large Indonesian technology company specializing in e-commerce.
(@tokopedia)

– Hack occurred in March 2020 and affects 15,000,000 users though the hacker said there are many more.
– Database contains emails, password hashes, names pic.twitter.com/CZTYImj6jA

— Under the Breach 🦠 (@underthebreach) May 2, 2020

Informasi yang dicuri termasuk data nama, alamat, nomor kontak, email, dan lain-lain yang tersimpan secara telanjang dalam format plain text. Sebagai informasi, plain text adalah format data berupa teks biasa yang bisa dibaca manusia secara langsung tanpa adanya enkripsi. Beruntung, data password akun masih terenkripsi menggunakan SHA2-384 hashing function. Untuk membuka password tersebut perlu membongkar hash dan dilakukan dengan algoritma dekripsi yang tidak mudah.

Sangat disayangkan data-data personal selain password di atas tidak dilengkapi dengan sistem enkripsi secara penuh sehingga bisa dengan mudah disalahgunakan. Bahayanya lagi, ternyata data tersebut sempat dijual di situs DarkNet dan Empire Market. Kejadian ini harus menjadi evaluasi tersendiri bagi pihak-pihak di belakang layar Tokopedia agar tidak terulang kembali di kemudian hari.

Nah, jika Anda merasa memiliki akun di Tokopedia, ada baiknya untuk melakukan pengecekan ‘data breach’. Data breach merupakan kejadian saat data yang sifatnya rahasia disalin, dilihat, dipindahkan, dicuri, atau digunakan oleh pihak-pihak yang tidak berkepentingan serta tidak mempunyai izin atas akses data tersebut (ilegal).

Untuk mengecek apakah akun email kita sedang dalam posisi ‘breach’ atau tidak, bisa menggunakan dua cara:

• Melalui situsweb Have I Been Pwned . Web ini dibuat secara sukarela oleh Troy Hunt, seorang pakar keamanan Microsoft, untuk membantu siapa saja yang ingin mengecek apakah akun kita bersih tanpa ‘breach’ atau sebaliknya. Anda cukup memasukkan alamat email yang ingin dicek, apakah terjadi breach atau nihil.

Contoh saat akun terdeteksi terjadi breach:

Contoh saat akun terdeteksi tidak terjadi breach:

• Melalui situsweb Avast Hack Check . Avast Hack Check memberi tahu saat akun email kita dicuri, sehingga bisa membantu kita mengamankan akun sebelum orang lain mengakses lebih dulu. Web yang dikembangkan oleh perusahaan antivirus dunia ini berusaha memeriksa apakah ada detail login yang muncul di database Avast berdasarkan kata sandi yang dicuri dan mencari tahu apakah akun kita sedang disusupi. Cara kerjanya mirip HIBP. Cukup masukkan alamat email kita dan hasilnya akan dikirim ke email.

Contoh saat akun terdeteksi terjadi breach:

Contoh saat akun terdeteksi tidak terjadi breach:

Beberapa saran lain yang bisa diterapkan untuk mencegah keamanan akun dan gadget yang kita miliki:

• Ganti password secara berkala dan usahakan tidak menggunakan password yang sama untuk akun yang berbeda.
• Kelola akun-akun Anda menggunakan aplikasi password manager. Melalui aplikasi tersebut kita tidak perlu repot-repot mengingat setiap password untuk setiap akun. Aplikasi tersebut biasanya sudah menyertakan password generator sehingga kita tidak perlu kesulitan mencari atau membangkitkan password baru. Kebanyakan aplikasi password manager berbayar, tetapi Anda bisa memanfaatkan versi gratisnya, misalnya 1Password, Enpass, LastPass, dsb. Bila menginginkan versi open source alias full gratis bisa gunakan KeePass.
• Aktifkan otentikasi dua faktor jika layanan yang digunakan sudah mendukung metode pengamanan ini.
• Hindari menggunakan jaringan publik, misal WiFi, terutama saat melakukan transaksi dalam jumlah yang besar dan sifatnya confidential.
• Lengkapi gadget/komputer Anda dengan sistem pengamanan yang ketat, misalnya dengan mengaktifkan unlock screen berupa PIN, pattern, sidik jari, dsb. untuk menyulitkan akses perangkat kita dari orang-orang yang tidak berkepentingan
• Jangan sembarangan mengeklik tautan yang mencurigakan yang berasal dari akun yang tidak dikenal, baik itu dibagikan melalui email, chat messenger, ataupun media sosial. Tautan yang mencurigakan menjadi salah satu medium yang cukup silent (tenang) karena terkadang bekerja di luar kesadaran kita sebagai pengguna.

Saran-saran di atas sifatnya untuk melakukan pencegahan dini. Kita tidak pernah tahu sehebat apa hacker yang sedang kita hadapi, karena bagaimanapun juga proses hacking itu ada tingkatan atau levelnya. Semakin dalam (deep) level hacking-nya, maka besar kemungkinan pencegahan yang kita lakukan menjadi sia-sia atau mudah dijebol cracker.

Buat saya, tidak ada sistem yang benar-benar aman di internet. Seorang pakar keamanan perlu membuat sistem keamanan berlapis dan memiliki pengetahuan yang luas soal keamanan data agar tidak mudah dijebol oleh hacker nakal. Sebagai user, kita juga harus selalu waspada menghadapi kemungkinan-kemungkinan terjadinya pencurian privasi dan data personal.