ANALISIS
Bom Waktu Kejahatan Siber RI Kala Kasus Tokopedia Diremehkan
CNN Indonesia
Rabu, 06 Mei 2020 18:46 WIB
Jakarta, CNN Indonesia -- Informasi pencurian data 91 juta akun dan 7 juta akun pedagang Tokopedia dicuri peretas membuat geger pada akhir pekan lalu (3/5). Data tersebut kemudian dijual di forum peretas RaidForums.
Tokopedia telah mengatakan mengatakan kata sandi dan informasi keuangan aman dari peretasan. Namun data-data seperti email, nama lengkap, nomor ponsel, alamat, tanggal lahir, hingga jenis kelamin dipastikan telah bocor.
Pakar keamanan siber dan media sosial menekankan ada data-data yang bocor dapat disalahgunakan oleh oknum, terutama yang berkaitan dengan rekayasa sosial (social engineering).
Penjahat bisa melakukan berbagai tipu daya berbasis rekayasa sosial untuk melakukan penipuan yang terdiri dari scamming, phishing, atau profiling. Sebagai catatan, pihak Tokopedia tak pernah memberikan pernyataan bahwa benar ada data-data yang bocor meski kata sandi dan informasi keuangan tak bocor.
Bahkan Kementerian Komunikasi dan Informatika (Kemenkominfo) juga terlihat mendukung pernyataan tersebut dengan menyebutkan bahwa kata sandi dan informasi keuangan pengguna aman dari peretasan. Akan tetapi Kemenkominfo tidak menjelaskan apakah data-data yang berhasil dicuri bisa menjadi modal kejahatan.
"Kemarin kami berbicara ke Wiliam (CEO Tokopedia), dia bilang sampai sekarang masih aman. Sekarang terus ditingkatkan keamanan informasinya," ujar Henri dalam konferensi pers bersama Business Software Alliance (BSA), Selasa (5/5).
Padahal bak bom waktu, kebocoran data ini bisa mengakibatkan ledakan kejahatan berbasis rekayasa sosial. Kebocoran data Tokopedia dinilai bisa mengakibatkan reaksi berantai.
Pakar keamanan siber dari CISSRec, Pratama Persadha menjelaskan Banyaknya data pengguna Tokopedia memang membuat resiko keamanan bertambah.
Data yang berhasil dicuri oleh peretas adalah data yang tidak terenkripsi, berbeda dengan data yang terenkripsi seperti kata sandi dan informasi keuangan. Bagi Pratama, tanpa mencuri kata sandi, data ini bisa dijadikan modal untuk mengambil alih akun korban tanpa rekayasa sosial.
"Selain kata sandi, data lain berupa nama lengkap, user ID, email, jenis kelamin, tanggal lahir dan nomor seluler tidak dienkripsi Alias terbuka dengan kasat mata," kata Pratama saat dihubungi CNNIndonesia.com, Rabu (6/5).
Pencurian akun dengan data yang bocor ini tak hanya berlaku bagi akun Tokopedia, tapi seluruh akun platform lain yang menggunakan email dan nomor ponsel yang sama.
Pratama menjelaskan cara mengambil alih akun korban cukup mudah. Caranya mudah, pelaku melakukan melakukan one time password (OTP) karena sudah mendapatkan nomor telepon korban.
Selanjutnya korban ditelepon dan pelaku bisa mengaku sebagai pihak Tokopedia maupun platform lain yang digunakan korban. Kemudian ia meminta OTP untuk mengambil alih akun korban.
"Cara ini sering berhasil untuk mengambil alih akun GoPay para korban, cukup dengan mengetahui nomor seluler yang terdaftar," kata Pratama.
Dengan modal data nomor ponsel dari Tokopedia, peretas bisa mengecek apakah nomor tersebut memiliki akun GoPay. Dengan modus yang sama, ia akan mengajukan OTP dan meminta OTP tersebut dari korban.
"Kemungkinan kejahatan model ini akan banyak dilaporkan beberapa waktu ke depan, karena pemakai GoPay di tanah air cukup banyak, hal yang seharusnya bisa diantisipasi sejak dini oleh penyedia platform," ujar Pratama.
Pratama juga mengatakan rekayasa sosial melalui phising atau tautan berbahaya yang bisa menguras uang korban. Link tersebut dikirimkan ke email-email yang didapat dari kebocoran data Tokopedia.
"Phising akan lebih mudah dilakukan juga dengan memakai isu corona yang saat ini sedang terjadi di masyarakat. Dengan pendekatan isu corona pastinya akan banyak korban yang melakukan klik link yang bisa berisi malware maupun situs jebakan. Hal ini patut diwaspadai," kata Pratama.
Pratama juga menjelaskan penjahat juga bisa mengajukan peminjaman di aplikasi pinjaman online dengan bermodalkan data-data yang sudah bocor. Pertama-tama peretas harus mampu mengumpulkan data KTP dari data-data yang telah bocor.
Kemudian peretas bisa mengajukan pinjaman untuk menarik sejumlah uang dari aplikasi pinjaman online yang kurang baik sistem pemeriksaannya. Pratama menjelaskan, pada akhirnya nanti korban adalah paling dirugikan karena datanya nanti akan disebar ke sejumlah orang dan web sebagai orang dengan sejumlah utang.
Data-data yang sudah tersebar juga bisa digunakan sebagai bahan telemarketing.
"Data yang sudah tersebar ini nantinya pasti akan diperjualbelikan kembali ke berbagai pihak, terutama yang menggunakannya sebagai bahan telemarketing. Tentu ini akan mengganggu privasi korban," ujar Pratama
Dihubungi terpisah, analis media sosial Drone Emprit and Kernels Indonesia, Ismail Fahmi tetap menekankan ada data-data yang bocor dan dapat disalahgunakan oleh penjahat.
Ismail mengatakan Tokopedia memang memiliki keamanan data berlapis, mulai dari hash password hingga OTP yang merupakan kode verifikasi yang dikirimkan lewat SMS.
Akan tetapi, senada dengan Pratama, Ismail mengatakan masalah kebocoran data tidak hanya berhenti di situs, sebab bisa meluas dan disalahgunakan oleh peretas. Bentuk penyalah gunaan mulai dari digunakan untuk telemarketing hingga penipuan rekayasa sosial.
"Data-data yang sudah bocor dimanfaatkan untuk telemarketing. Kan sudah tahu nama, nomor ponsel, bisa dicari media sosial, sehingga bisa dihubungi," ujar Ismail saat dihubungi CNNIndonesia.com, Selasa (5/5).
Ismail juga mengatakan data-data personal yang diambil bisa dipakai untuk rekayasa sosial penjahat dengan mudah melakukan serangan rekayasa sosial, pertama-tama penjahat akan profiling korban terlebih dahulu dengan mengandalkan data-data yang sudah diperoleh.
Salah satu contoh penipuan yang paling sering terjadi adalah penipuan dengan modus penjahat mengaku sebagai teman korban dan meminta sejumlah uang.
"Misalnya ada tahun orang ini pernah bekerja di mana, kemudian tahu temannya siapa dan detail informasinya. Jadi penjahat yang sudah punya nomor telepon korban, menelepon korban dan meminta transfer sejumlah uang," kata Ismail.
Ismail mengatakan dirinya sejak awal tidak khawatir dengan peretasan akun Tokopedia atau informasi keuangan yang berada di akun karena lapisan keamanan Tokopedia. Akan tetapi, data-data yang sudah terlanjur bocor bisa digunakan untuk tindak kejahatan.
Menanggapi hal tersebut, VP of Corporate Communications, Tokopedia Nuraini Razak mengklaim pihaknya memastikan tidak ada kebocoran data pembayaran.
"Tidak ada kebocoran data pembayaran. Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit dan OVO, di Tokopedia tetap terjaga keamanannya," tegas Nuraini kepada wartawan, Minggu (3/5).
Pihak Tokopedia mengakui pihaknya menemukan ada upaya pencurian data terhadap pengguna Tokopedia, namun Tokopedia memastikan, informasi penting pengguna, seperti password, tetap berhasil terlindungi.
Tokopedia telah mengatakan mengatakan kata sandi dan informasi keuangan aman dari peretasan. Namun data-data seperti email, nama lengkap, nomor ponsel, alamat, tanggal lahir, hingga jenis kelamin dipastikan telah bocor.
Pakar keamanan siber dan media sosial menekankan ada data-data yang bocor dapat disalahgunakan oleh oknum, terutama yang berkaitan dengan rekayasa sosial (social engineering).
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
Bahkan Kementerian Komunikasi dan Informatika (Kemenkominfo) juga terlihat mendukung pernyataan tersebut dengan menyebutkan bahwa kata sandi dan informasi keuangan pengguna aman dari peretasan. Akan tetapi Kemenkominfo tidak menjelaskan apakah data-data yang berhasil dicuri bisa menjadi modal kejahatan.
Padahal bak bom waktu, kebocoran data ini bisa mengakibatkan ledakan kejahatan berbasis rekayasa sosial. Kebocoran data Tokopedia dinilai bisa mengakibatkan reaksi berantai.
Pakar keamanan siber dari CISSRec, Pratama Persadha menjelaskan Banyaknya data pengguna Tokopedia memang membuat resiko keamanan bertambah.
Data yang berhasil dicuri oleh peretas adalah data yang tidak terenkripsi, berbeda dengan data yang terenkripsi seperti kata sandi dan informasi keuangan. Bagi Pratama, tanpa mencuri kata sandi, data ini bisa dijadikan modal untuk mengambil alih akun korban tanpa rekayasa sosial.
"Selain kata sandi, data lain berupa nama lengkap, user ID, email, jenis kelamin, tanggal lahir dan nomor seluler tidak dienkripsi Alias terbuka dengan kasat mata," kata Pratama saat dihubungi CNNIndonesia.com, Rabu (6/5).
Pratama menjelaskan cara mengambil alih akun korban cukup mudah. Caranya mudah, pelaku melakukan melakukan one time password (OTP) karena sudah mendapatkan nomor telepon korban.
Selanjutnya korban ditelepon dan pelaku bisa mengaku sebagai pihak Tokopedia maupun platform lain yang digunakan korban. Kemudian ia meminta OTP untuk mengambil alih akun korban.
"Cara ini sering berhasil untuk mengambil alih akun GoPay para korban, cukup dengan mengetahui nomor seluler yang terdaftar," kata Pratama.
Dengan modal data nomor ponsel dari Tokopedia, peretas bisa mengecek apakah nomor tersebut memiliki akun GoPay. Dengan modus yang sama, ia akan mengajukan OTP dan meminta OTP tersebut dari korban.
 Aplikasi tokopedia digunakan untuk belanja online di kala Work Form Home (WFH). (Foto: CNN Indonesia/Adhi Wicaksono) |
Pratama juga mengatakan rekayasa sosial melalui phising atau tautan berbahaya yang bisa menguras uang korban. Link tersebut dikirimkan ke email-email yang didapat dari kebocoran data Tokopedia.
"Phising akan lebih mudah dilakukan juga dengan memakai isu corona yang saat ini sedang terjadi di masyarakat. Dengan pendekatan isu corona pastinya akan banyak korban yang melakukan klik link yang bisa berisi malware maupun situs jebakan. Hal ini patut diwaspadai," kata Pratama.
Pratama juga menjelaskan penjahat juga bisa mengajukan peminjaman di aplikasi pinjaman online dengan bermodalkan data-data yang sudah bocor. Pertama-tama peretas harus mampu mengumpulkan data KTP dari data-data yang telah bocor.
Data-data yang sudah tersebar juga bisa digunakan sebagai bahan telemarketing.
"Data yang sudah tersebar ini nantinya pasti akan diperjualbelikan kembali ke berbagai pihak, terutama yang menggunakannya sebagai bahan telemarketing. Tentu ini akan mengganggu privasi korban," ujar Pratama
Dihubungi terpisah, analis media sosial Drone Emprit and Kernels Indonesia, Ismail Fahmi tetap menekankan ada data-data yang bocor dan dapat disalahgunakan oleh penjahat.
Ismail mengatakan Tokopedia memang memiliki keamanan data berlapis, mulai dari hash password hingga OTP yang merupakan kode verifikasi yang dikirimkan lewat SMS.
Akan tetapi, senada dengan Pratama, Ismail mengatakan masalah kebocoran data tidak hanya berhenti di situs, sebab bisa meluas dan disalahgunakan oleh peretas. Bentuk penyalah gunaan mulai dari digunakan untuk telemarketing hingga penipuan rekayasa sosial.
"Data-data yang sudah bocor dimanfaatkan untuk telemarketing. Kan sudah tahu nama, nomor ponsel, bisa dicari media sosial, sehingga bisa dihubungi," ujar Ismail saat dihubungi CNNIndonesia.com, Selasa (5/5).
Ismail juga mengatakan data-data personal yang diambil bisa dipakai untuk rekayasa sosial penjahat dengan mudah melakukan serangan rekayasa sosial, pertama-tama penjahat akan profiling korban terlebih dahulu dengan mengandalkan data-data yang sudah diperoleh.
Salah satu contoh penipuan yang paling sering terjadi adalah penipuan dengan modus penjahat mengaku sebagai teman korban dan meminta sejumlah uang.
"Misalnya ada tahun orang ini pernah bekerja di mana, kemudian tahu temannya siapa dan detail informasinya. Jadi penjahat yang sudah punya nomor telepon korban, menelepon korban dan meminta transfer sejumlah uang," kata Ismail.
Ismail mengatakan dirinya sejak awal tidak khawatir dengan peretasan akun Tokopedia atau informasi keuangan yang berada di akun karena lapisan keamanan Tokopedia. Akan tetapi, data-data yang sudah terlanjur bocor bisa digunakan untuk tindak kejahatan.
Menanggapi hal tersebut, VP of Corporate Communications, Tokopedia Nuraini Razak mengklaim pihaknya memastikan tidak ada kebocoran data pembayaran.
"Tidak ada kebocoran data pembayaran. Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit dan OVO, di Tokopedia tetap terjaga keamanannya," tegas Nuraini kepada wartawan, Minggu (3/5).
Pihak Tokopedia mengakui pihaknya menemukan ada upaya pencurian data terhadap pengguna Tokopedia, namun Tokopedia memastikan, informasi penting pengguna, seperti password, tetap berhasil terlindungi.
Kominfo dan Tokopedia Dikritik
BACA HALAMAN BERIKUTNYA TOPIK TERKAIT
ARTIKEL
TERKAIT
TERKAIT
6 Bahaya yang Intai Usai Kasus Data Bocor Tokopedia-Bukalapak
DPR Desak Polisi Usut Kasus 91 Juta Akun Tokopedia Bocor
Ahli Ungkap Akun Tokopedia Bisa Digunakan Berbagai Kejahatan
Kominfo Ungkap 'Curhat' Bos Tokopedia Usai 91 Juta Akun Bocor
Menkominfo soal Akun Tokopedia Bocor: Rajin Ganti Password
LAINNYA DI DETIKNETWORK