Jakarta - Pakar keamanan siber dari Vaksin.com, Alfons Tanujaya, mengatakan ada 91 juta data pengguna Tokopedia disebarkan dan dijual di dark web. Setelah sebelumnya santer terdengar 15 juta data pengguna Tokopedia bocor.
Tokopedia memastikan tidak ada kebocoran data pembayaran.
"Menurut pantauan Vaksin.com, sebenarnya malah ada 91 juta databased yang disebarkan di dark web dan berusaha dijual dengan harga 5.000 dolar AS," kata Alfons di Jakarta, Minggu, 3 Mei 2020, seperti diberitakan Antara.
Jumlah tersebut, kata Alfons, sesuai dengan penyataan Tokopedia yang menyebut memiliki lebih dari 90 juta pengguna aktif bulanan.
"Kalau ditawarkan sebanyak itu, harusnya memang benar. Itu juga terkonfirmasi dengan pernyataan Tokopedia," ujar Alfons.
Ia mengatakan, informasi yang bocor adalah username, alamat email, tanggal lahir, dan nomor telepon. Menurut Alfons, kebocoran nomor telepon sangat mengkhawatirkan. Pasalnya, kata dia, dapat digunakan untuk rekayasa sosial, misalnya memalsukan diri sebagai Tokopedia dan membohongi korban dengan iming-iming menang undian.
Di dalam data yang bocor, kata Alfons, password bentuk hash yang telah dienkrip. Sehingga, tanpa mengetahui kunci dekrip cukup sulit untuk mendapatkan password.
"Seharusnya semua layanan online yang mengelola database dan password memang telah melakukan fungsi hashing untuk menyimpan semua password agar jika terjadi kebocoran, maka password tetap aman," ucap dia.
Meski password telah dienkripsi, pembobolan dapat dilakukan dengan metode brute force, upaya serangan dengan menggunakan algoritma yang menggabungkan huruf, angka dan simbol untuk menghasilkan password.
"Brute force itu bisa terjadi kalau dari Tokopedia tidak memblokir proses brute force, jadi kalau diblokir, login gagal sekali tahan dulu 10 menit, gagal dua kali tahan 20 menit, gagal tiga kali tahan satu jam, dan seterusnya, jadi secara teknis sangat sulit jika ada proteksi brute force untuk melakukan brute force dengan password ini," ujar Alfons.
Untuk mengantisipasi keamanan pengguna, menurut Alfons, Tokopedia memberikan perhatian ekstra pada pengamanan infrastruktur, khususnya yang berhubungan dengan kredensial dan database pengguna, terlebih dalam masa Work From Home (WFH) seperti saat ini.
"Karena meningkatnya user dan aktivitas selama WFH, otomatis meningkatkan beban kerja admin dengan luar biasa," kata Alfons.
Sementara itu, Vice President of Corporate Communications Tokopedia, Nuraini Razak, mengatakan menjamin tidak ada kebocoran data pembayaran.
"Tokopedia memastikan tidak ada kebocoran data pembayaran. Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit terjaga keamanannya," ujar Nuraini dalam keterangan tertulisnya, Minggu, 3 Mei 2020. []
