JAKARTA-Tokopedia dilaporkan mengalami peretasan, seperti dalam cuitan akun twitter @underthebreach. Bahkan jumlahnya diperkirakan 91 juta akun dan 7 juta akun merchant, tidak lagi 15 juta seperti diinfokan sebelumnya. Padahal di tahun 2019, Tokopedia menginfokan bahwa ada sekitar 91 juta akun aktif di platformnya. Artinya hampir semua akun di Tokopedia berhasil diambil datanya oleh peretas.
Pelaku menjual data di darkweb berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone dan password yang masih ter-hash atau tersandi. Semua dijual dengan harga US$ 5.000 atau sekitar Rp 74 juta. Bahkan ada 14.999.896 akun Tokopedia yang datanya saat ini bisa didownload.
Dalam keterangannya Minggu (3/5), pakar keamanan siber Pratama Persadha menjelaskan bahwa kejadian seperti ini harus cepat direspon oleh pihak Tokopedia dan juga para penggunanya. Karena ancaman penipuan dan pengambilalihan akun bisa terjadi kapan saja.
Baca Juga:Pembatasan Sangat Ketat, Anies: Warga yang Mudik, Belum Tentu Bisa Kembali ke JakartaBegini Kronologis Peretasan di Tokopedia
Pratama menjelaskan peretas Whysodank pertama kali mempublikasikan hasil peretasan di raid forum pada Sabtu (2/5). Kemudian peretas ShinyHunters memposting thread penjualan 91 juta akun Tokopedia di forum darkweb bernama EmpireMarket. Dari sinilah akun @underthebreach mempublikasikan peretasan Tokopedia ke publik Twitter.
“Memang data untuk password masih dienkripsi, namun tinggal menunggu waktu sampai ada pihak yang bisa membuka. Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password,” jelas chairman Lembaga Riset SIber Indonesia CISSReC (Communication & Information System Security Research Center) ini.
Ditambahkan Pratama, meski password masih dalam bentuk acak, namun data lain sudah plain alias terbuka. Artinya semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet. Misalnya mengirimkan link phising maupun upaya social engineering lainnya, karena itu seharusnya Tokopedia melakukan update dan informasi kepada seluruh penggunanya segera.
“Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan dilakukan adalah takeover akun. Lalu pelaku secara random akan mencoba melakukan take over akun medsos dan marketplace lainnya, karena ada kebiasaan penggunaan password yang sama untuk semua platform,” terang pria asal Cepu Jawa Tengah ini.