Semarang (ANTARA) - Pemerintah dan DPR RI tampaknya perlu mempercepat pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi menyusul peretasan dan penjualan 91 juta data pengguna Tokopedia di dark web (web gelap).
Kasus kebocoran data ini berpotensi menjalar ke akun media sosial dan platform lainnya bila mereka menggunakan surat elektronik (e-mail) dan password yang sama.
Apalagi, situs marketplace (web atau aplikasi daring yang memfasilitasi proses jual beli dari berbagai toko) ini akan selalu menjadi sasaran para peretas karena banyak menghimpun data masyarakat, terutama kartu kredit, kartu debit, dan dompet digital.
Pelaku menjual data di dark web berupa user ID, e-mail, nama lengkap, tanggal lahir, jenis kelamin, nomor ponsel, dan password yang masih ter-hash atau tersandi.
Oleh karena itu, pakar keamanan siber dari CISSReC Dr. Pratama Persadha meminta Tokopedia dan para penggunanya cepat meresponsnya. Masalahnya, ancaman penipuan dan pengambilalihan akun bisa terjadi kapan saja.
Sebelumnya, peretas Whysodank pertama kali memublikasikan hasil peretasan di raid forum pada hari Sabtu (2/5).
Selanjutnya, peretas ShinyHunters mem-posting thread penjualan 91 juta akun Tokopedia di forum dark web bernama EmpireMarket. Dari sinilah, kata Pratama, akun @underthebreach memublikasikan peretasan Tokopedia ke publik Twitter.
"Memang data untuk password masih dienkripsi. Namun, tinggal menunggu waktu sampai ada pihak yang bisa membuka," kata Pratama yang pernah sebagai pejabat Lembaga Sandi Negara (Lemsaneg) yang kini menjadi Badan Siber dan Sandi Negara (BSSN).
Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password.
Meski password masih dalam bentuk acak, data lain sudah plain alias terbuka. Artinya, semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet. Misalnya, mengirimkan link phishing maupun upaya social engineering lainnya.
Oleh karena itu, pakar keamanan siber ini menekankan Tokopedia segera melakukan update dan informasi kepada seluruh penggunanya.
Bentuk Tim
Kebocoran data pengguna di platform belanja daring ini juga menjadi perhatian serius Kementerian Komunikasi dan Informatika. Bahkan, Kominfo membentuk tim bersama Badan Siber dan Sandi Negara serta Tokopedia untuk mengevaluasi kasus tersebut.
Menteri Kominfo Johnny G. Plate ketika memberi keterangan melalui siaran YouTube akun Kemkominfo TV, Senin (4/5), mengatakan bahwa pihaknya bersama BSSN dan Tokopedia akan melakukan evaluasi, penyelidikan, mitigasi teknis, dan memperbarui perkembangan.
Kominfo meminta pengelola platform digital Tokopedia melakukan investigasi internal untuk memastikan dugaan kebocoran data, kemudian mengambil langkah guna menjamin keamanan data pengguna.
Tokopedia, kata Pratama Persadha, wajib secara berulang-ulang menyosialisasikan apa saja yang harus dilakukan oleh para penggunanya.
Dengan segala sarana media yang ada, Tokopedia memberitahukan kepada mereka untuk segera ganti password akun dan mengaktifkan one time password (OTP) atau kata sandi sekali pakai lewat SMS sampai semua penggunanya menyadari kebocoran ini dan mau mengganti password-nya.
Masalahnya, jika password sudah dibuka oleh pelaku, salah satu yang akan dilakukan adalah takeover (pengambilalihan) akun. Setelah itu, pelaku secara random akan mencoba melakukan takeover akun medsos dan marketplace lainnya karena ada kebiasaan penggunaan password yang sama untuk semua platform.
Terkait dengan saran dari Ketua Lembaga Riset Keamanan Siber dan Komunikasi CISSReC ini, Tokopedia sudah melakukannya, sebagaimana rilisnya kepada ANTARA, Sabtu (2/5) malam. Pihak Tokopedia menganjurkan pengguna untuk tetap mengganti password akun secara berkala demi keamanan dan kenyamanan.
Tokopedia juga menerapkan keamanan berlapis, termasuk dengan OTP yang hanya dapat diakses secara real time oleh pemilik akun. Selain itu, pakar keamanan siber dari Vaksin.com Alfons Tanujaya juga melihat proteksi otomatis, two factor authentication (TFA).
Dalam memanfaatkan metode TFA atau verifikasi dua langkah, Tokopedia memanfaatkan Google Authenticator. Untuk mengaktifkan Google Authenticator, terlebih dahulu mengunduh aplikasinya di Google Play Store atau Apple App Store.
Selanjutnya, scan QR code di website Tokopedia yang dapat ditemukan di pengaturan profil akun Anda. Berikutnya, Anda akan diberikan opsi untuk memilih metode verifikasi kode OTP lewat WhatsApp atau SMS. Setelah itu, Anda mendapatkan enam digit untuk masuk ke akun Tokopedia Anda.
"Ingat jangan pernah berikan kode verifikasi yang Anda terima melalui WhatsApp atau SMS kepada siapa pun, sekalipun dia mengaku dari Tokopedia," kata Alfons.
Selain itu, Alfons juga menyarankan untuk tidak menyimpan kartu kredit di layanan online (daring) meskipun memberikan kemudahan tidak usah repot-repot memasukkan data. Pasalnya, begitu akun diretas, data tersebut rentan disalahgunakan.
Tips Aman Berinternet
Agar pemilik kartu kredit dan debit serta dompet digital merasa aman berberlanja di marketplace, Communication and Information System Security Research Center (CISSReC) memberikan tips sebagai berikut:
1. mengamankan akun dengan mengganti password secara rutin,
2. jangan menggunakan kartu debit atau kredit secara langsung,
3. menggunakan dompet digital,
4. mengaktifkan verifikasi dua langkah atau two factor authentication (2FA),
5. jangan menggunakan Wi-Fi publik atau gratisan,
6. membiasakan bertanya terlebih dahulu stok barang sebelum membeli.
7. jangan lupa melihat juga reputasi pada toko.
8. pasang antivirus yang ter-update untuk berjaga-jaga jika terdapat malware,
9. bertransaksi hanya pada platform e-Commerce terpercaya,
10. menggunakan password yang berbeda untuk setiap akun daring, termasuk e-Commerce dan media sosial,
11. jangan mengklik link asing secara sembarangan, ditakutkan adanya phishing, dan
12. jangan share kode OTP kepada siapa pun.
Bila tidak yakin dengan keamanan hacked, kata Pratama Persadha, bisa menggunakan link https://monitor.firefox.com/?breach=Tokopedia Firefox Monitor. Tautan ini merupakan aplikasi berdasarkan database. Untuk sementara ini baru 15 juta data akun Tokopedia yang masuk.
UU PDP Keniscayaan
Kendati demikian, Pratama memandang penting keberadaan Undang-Undang Perlindungan Data Pribadi (UU PDP) agar kelak memberikan jaminan kepastian hukum dan perlindungan data pribadi.
Apalagi, lanjut dosen Etnografi Dunia Maya pada Program Studi S-2 Antropologi Universitas Gadjah Mada (UGM) Yogyakarta ini, pengguna Tokopedia saat ini menjadi sasaran empuk tindak kejahatan, salah satunya phishing dengan memanfaatkan data tersebut.
Baca juga: Kominfo desak Tokopedia investigasi dugaan kebocoran data pengguna
Tokopedia juga harus menghadapi ancaman tuntutan bila ada user Tokopedia warga Uni Eropa yang merasa rugi. Warga Uni Eropa dilindungi General Data Protection Regulation (GDPR), semacam undang-undang yang melindungi data warganya di seluruh dunia.
"Ancamannya tidak main-main, bisa sampai 20 juta euro," kata pria kelahiran Cepu, Kabupaten Blora, Jawa Tengah ini.
Dalam GDPR, perlindungan data menjadi hal yang sangat diprioritaskan. Dalam kasus Tokopedia, enkripsi hanya pada password, sangatlah tidak cukup. GDPR sendiri mewajibkan perlindungan pada seluruh data.
Baca juga: Facebook dukung UU perlindungan data pribadi lewat kampanye jaga privasi
Dalam GDPR, juga akan dicek apakah data sensitif dienkripsi atau tidak? Apakah platform memiliki sumber daya manusia (SDM) dan vendor teknologi yang cakap atau tidak? Apakah update security patch secara berkala atau tidak? Bagaimana model pengamanan yang dijalankan setiap harinya?
Oleh sebab itu, keberadaan Undang-Undang Perlindungan Data Pribadi suatu keniscayaan, atau tidak cukup dengan Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) maupun Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Walaupun kedua peraturan perundang-undangan ini ada sanksi bagi pelanggar. Bahkan, di dalam Pasal 30 UU Nomor 11 Tahun 2008 tentang ITE, sebagaimana diubah dengan UU No. 19/2016, disebutkan bahwa setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik milik orang lain dengan cara apa pun, terancam pidana penjara paling lama 6 tahun dan/atau denda paling banyak Rp600 juta. (Vide Pasal 46 Ayat 1)
Begitu pula, setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik dengan cara apa pun dengan tujuan untuk memperoleh informasi elektronik dan/atau dokumen elektronik, terancam pidana paling lama 7 tahun dan/atau denda paling banyak Rp700 juta. (Vide Pasal 46 Ayat 2)
Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan bisa dipidana penjara paling lama 8 tahun dan/atau denda paling banyak Rp800 juta. (Vide Pasal 46 Ayat 3)
Hal yang terkait dengan sanksi administrasi, sebagaimana termaktub di dalam PP No. 71/2019, yakni teguran tertulis, denda administratif, penghentian sementara, pemutusan akses, dan/atau dikeluarkan dari daftar. Sanksi ini tidak menghapuskan tanggung jawab pidana dan perdata.
Baca juga: Rapat daring rawan pelanggaran hukum atas perlindungan data pribadi
