Liputan6.com, Jakarta - Puluhan juta data pengguna Tokopedia diretas. Melalui sebuah pernyataan resmi, Tokopedia tidak menampik adanya upaya peretasan, tapi perusahaan mengklaim kata sandi pengguna masih terlindungi.
Menurut tangkapan layar yang beredar dan diunggah oleh akun @underthebreach, si peretas mengaku perlu memecahkan fungsi hash yang mengonversi karakter kata sandi asli menjadi karakter tertentu.
Baca Juga
Advertisement
Peretas menjual berkas dump data tersebut seharga USD 5 ribu atau sekitar Rp 74 jutaan--1 USD sekitar Rp 14.875--di Dark Web. Dump data tersebut memuat informasi sebagai berikut:
- Jenis kelamin
- Lokasi
- Nama pengguna (username)
- Nama lengkap (full name)
- Alamat email
- Nomor telepon
- Password (kata sandi) yang dilindungi fungsi hash
Sejauh ini belum jelas apakah dump data itu juga memuat informasi kartu kredit pengguna yang dihubungkan ke akun Tokopedia mereka.
Pakar keamanan siber, Alfons Tanuwijaya, mengungkapkan bahwa hash dienkripsi sehingga tanpa mengetahui kunci deskripsi, cukup sulit untuk mendapatkan password. Salah satu metode untuk bisa melakukannya dengan brute force.
"Brute force itu bisa terjadi kalau dari Tokopedia tidak memblokir proses brute force. Kalau diblokir, login gagal sekali tahan dulu 10 menit, gagal dua kali tahan 40 menit, gagal tiga kali tahan 1 jam, dan seterusnya. Jadi secara teknis sangat sulit jika ada proteksi brute force untuk melakukan brute force dengan password ini," ujar Alfons pada penjelasan melalui kanal YouTube miliknya, Minggu (3/5/2020).
Metode Lain
Selain itu, kata Alfons, menurut pengetesan Vaksin.com, jika ada yang mengetahui nama pengguna dan password, lalu password berhasil diretas, sudah ada proteksi otomatis yaitu two factor authentication di Tokopedia. Untuk fitur pengamanan ini, pengguna bisa mengaktifkannya dengan memilih verifikasi ke WhatsApp atau SMS.
"Jika kita klik WhatsApp, maka akan dikirim verifikasi ke WhatsApp, dengan catatan memang user yang login dari perangkat baru. Jika Anda tidak pernah login dari perangkat baru, mendadak ada verifikasi Tokopedia, atau di SMS muncul verifikasi Tokopedia, artinya kredensial anda sudah bocor, dan Anda harus segera mengganti kredensial Anda," kata Spesialis Keamanan Teknologi Vaksincom tersebut.
Ia pun menekankan agar pengguna tidak pernah memberikan kode verifikasi kepada siapa pun.
Advertisement
Kode verifikasi
"Ingat jangan pernah memberikan kode verifikasi yang Anda terima melalui WhatsApp atau SMS kepada siapa pun, sekalipun dia mengaku dari Tokopedia.
Menurut pantauan Vaksin.com, ada 91 juta database pengguna Tokopedia yang disebarkan di dark web dan berusaha dijual dengan harga USD 5 ribu. Informasi yang bocor adalah nama pengguna, alamat email, tanggal lahir dan nomor telepon.
"Ini yang cukup mengkhawatirkan, karena ini dapat digunakan untuk rekayasa sosial memalsukan diri sebagai Tokopedia, lalu membohongi korbannya, seperti Anda menang undian, atau dapatkan voucher. Nah sebenarnya proses itu bertujuan untuk mencuri kredensial username dan password," tutur Alfons.
(Din/Why)