Kebocoran data jutaan akun pelanggan perusahan e-commerce menunjukkan, kesadaran atas perlindungan data siber masih lemah. Pemerintah harus segera menyelesaikan Undang-Undang Perlindungan Data Pribadi (PDP) dan Undang-Undang Ketahanan Keamanan Siber. 

=0=

Dirundung kemalangan, CEO Tokopedia William Tanuwijaya menyatakan, pihaknya akan terus membangun, mengembangkan, dan meningkatkan prosedur serta sistem antisipasi dan mitigasi Tokopedia di tengah informasi bocornya data para pengguna. Menurut William, pada 2 Mei lalu, Tokopedia menyadari adanya pencurian data oleh pihak ketiga yang tidak berwenang, terkait informasi pengguna Tokopedia.

Adanya kebocoran tersebut, membuat Tokopedia langsung memberikan informasi kepada seluruh pengguna, memulai proses investigasi, dan mengambil langkah-langkah yang perlu dilakukan untuk memastikan akun serta transaksi tetap terjaga. 

"Kami terus pastikan bahwa kata sandi telah dienkripsi dengan enkripsi satu arah. Kedua, kami telah berkomunikasi dan bekerja sama dengan pemerintah, antara lain Kementerian Komunikasi dan Informatika serta Badan Siber dan Sandi Negara, untuk melakukan investigasi atas kejadian ini, sekaligus memastikan keamanan dan perlindungan atas data pribadi," tutur William.  

Selain melakukan investigasi internal dengan teliti, William menyatakan pihaknya juga telah menunjuk institusi independen yang memiliki spesialisasi di bidang keamanan siber. Institusi tersebut membantu investigasi dan identifikasi langkah-langkah yang diperlukan, guna lebih meningkatkan perlindungan data para pengguna.

"Kami senantiasa mengajak seluruh pengguna mengikuti anjuran langkah pengamanan agar semua tetap terlindungi, seperti memastikan bahwa selalu mengganti kata sandi akun Tokopedia secara berkala, tidak menggunakan kata sandi yang sama di berbagai platform digital, dan menjaga OTP dengan tidak memberikan kode OTP tersebut kepada pihak mana pun, termasuk yang mengatasnamakan Tokopedia dan untuk alasan apa pun," William menjelaskan.

Hal senada dikatakan VP of Corporate Communications Tokopedia, Nuraini Razak. Ia hanya memberikan pernyataan singkat terkait adanya jutaan kebocoran data pengguna. "Tokopedia memastikan tidak ada kebocoran data pembayaran. Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit, dan OVO di Tokopedia, tetap terjaga keamanannya," kata Nuraini kepada Wahyu Wahid Anshori dari GATRA.

Perusahaan e-commerce Bukalapak yang bernasib sama, mengatakan bahwa dalam beberapa hari terakhir, pihaknya menerima banyak pertanyaan seputar keamanan data di Bukalapak. Namun, pihaknya menegaskan, saat ini data konsumen aman di Bukalapak.

Sejak terjadinya peretasan data Bukalapak pada awal 2019, yang mengambil rangkaian data lama sampai dengan 2017, Bukalapak terus berusaha untuk meningkatkan cyber security secara menyeluruh. Setelah menemukan sumber masalah, Bukalapak terus meningkatkan cyber security, baik dari sisi infrastruktur, keahlian, maupun budaya perusahaan. Bukalapak juga terus mengingatkan para pengguna untuk lebih aktif mengambil langkah-langkah pengamanan.

"Kami sangat menyadari bahwa risiko cyber security adalah risiko yang dapat mengancam siapa saja. Di Bukalapak, keamanan user data adalah prioritas utama kami, sehingga dari waktu ke waktu, kami selalu mengimplementasi berbagai upaya demi meningkatkan keamanan dan kenyamanan para pengguna Bukalapak, serta memastikan data-data pengguna tidak disalahgunakan," ujar Chief Executive Officer Bukalapak, Rachmat Kaimuddin.

Menurut Rachmat, Bukalapak menggunakan sistem perlindungan berlapis saat menerima, menyimpan, dan mengolah seluruh data pengguna. Saat menerima data, Bukalapak menggunakan metode https, sehingga data yang masuk tidak mudah diretas. Untuk menyimpan data, Bukalapak menerapkan metode perlindungan berlapis. Saat menggunakan dan mengolah data, Bukalapak memonitor secara ketat, sehingga jejak orang yang mengakses, membaca, mengganti, atau menghapus data, dapat terekam secara baik.

"Untuk data-data yang sensitif seperti KTP, kami simpan di storage khusus dalam periode waktu tertentu, yang dapat secara otomatis terhapus untuk melindungi privasi user kami. Tentunya, seluruh pengguna juga perlu melakukan langkah-langkah pencegahan, dan kami selalu mengingatkan sesuai dengan Kebijakan Privasi Bukalapak. Langkah ini, termasuk jangan menggunakan password yang sama untuk lebih dari satu akun/website," tutur Rachmat.

***

Peneliti Kemanan Siber dari Communication Information System Security Research Center (CISSReC), Pratama Persadha, mengatakan bahwa dalam kasus peretasan e-commerce, hampir semua data pengguna diambil, kecuali data transaksi dan alat pembayaran. Data berupa nama lengkap, user ID, email, tanggal lahir, jenis kelamin, dan nomor ponsel sangat mungkin diperjualbelikan dengan bebas oleh peretas. "Yang kita prihatin adalah hanya password yang dienkripsi, data lainnya tidak," kata Pratama saat dihubungi Dwi Reka Barokah dari GATRA.

Saat para pelaku kejahatan memegang data pribadi pengguna, mereka bisa melakukan apa saja. Ancaman paling nyata, yaitu praktek phising yang biasanya menyasar email, Whatsapp, Telegram, dan SMS. Risikonya bertambah besar karena selain diketahui nomor seluler, peretas juga mengetahui nama lengkap pengguna. "Para pelaku bisa membuat pesan yang lebih meyakinkan, bahkan mereka bisa saja mengaku sebagai pihak dari Tokopedia," ujar Pratama.

Phising akan lebih mudah dilakukan dengan memakai isu virus corona yang saat ini sedang mewabah. Dengan pendekatan isu tersebut, pelaku akan lebih mudah meyakinkan korban untuk mengeklik link yang bisa berisi malware atau situs jebakan. 

Pelaku yang berpengalaman, menghimpun data KTP untuk melakukan matching dan menarik sejumlah uang dari teknologi finansial (tekfin) abal-abal yang kurang baik sistem pemeriksaannya. Pada akhirnya, korban menjadi pihak paling dirugikan karena datanya akan disebar ke sejumlah orang dan web dengan tuntutan sejumlah utang.

"Data yang sudah tersebar ini, nantinya pasti akan diperjualbelikan kembali ke berbagai pihak, terutama yang menggunakannya sebagai bahan telemarketing. Tentu ini akan menggangu privasi korban," kata Pratama. Selain itu, bila data pengguna Tokopedia lengkap dikumpulkan berdasarkan umur dan demografi, data tersebut akan menjadi big data yang bisa digunakan untuk kegiatan sosialisasi politik atau target iklan di media sosial.

***

Merespons peretasan data yang terjadi pada e-commerce unikorn Tanah Air, Kementerian Komunikasi dan Informatika (Kemkominfo) telah memanggil Tokopedia pada minggu lalu. Usai pertemuan tersebut, Menkominfo Johnny G Plate menegaskan, pemerintah akan terus memastikan agar ekonomi digital tetap berjalan dengan baik dan lancar, tidak akan diganggu oleh para peretas data atau data breach. "Kami akan memastikan, setiap usaha pertahanan data akan ditindaklanjuti, agar tidak mengganggu jalannya e-commerce Indonesia," ujarnya dalam konferensi pers pada Senin, 4 Mei lalu.

Kemkominfo mengajak Badan Siber dan Sandi Negara (BSSN) serta Tokopedia bekerja sama untuk serius melakukan evaluasi dan mitigasi teknis, serta memperbarui perkembangannya. Pihak Tokopedia menyampaikan, data-data keuangan dan akun pelanggan aman. 

Meski terjadi peretasan data pengguna, Tokopedia memastikan data keuangan dan akuntansi anggaran masih aman. Namun, Johnny mengimbau agar masyarakat pemilik akun selalu memperbarui kata sandi secara berkala dan menggunakan fitur one time password (OTP). Hal ini penting untuk menjaga kerahasiaan data pengguna.

Johnny menegaskan kembali komitmen pemerintah untuk menjaga, agar ekonomi digital berjalan dengan baik dengan menyelesaikan peretasan data platform digital. "Kemkominfo bersama BSSN akan selalu bekerja sama dengan seluruh pelaku e-commerce untuk berusaha meningkatan security system, agar bisa melindungi data pribadi masyarakat," ucapnya.

BSSN juga terus berupaya melakukan asistensi penguatan sistem, memberi panduan, dan mitigasi dari tindak peretasan data yang terjadi pada platform seperti Tokopedia dan Bukalapak. Kendati demikian, hasil evaluasi terhadap kasus peretasan teranyar yang dialami Tokopedia belum bisa diungkapkan.

"Untuk hal yang terkait insiden siber dan kebocoran data beberapa waktu ini, BSSN saat ini tengah terus bekerja dengan berbagai pihak untuk mengambil langkah-langkah mitigasi yang dimaksudkan. Untuk sementara ini, biarkan tim bekerja," kata Juru Bicara BSSN, Anton Setiyawan, kepada Wartawan GATRA, Ucha Julistian Mone.

Kasus peretasan data e-commerce, seperti yang dialami Tokopedia, menurut laporan dan catatan yang dihimpun BSSN, juga pernah terjadi pada Bhinneka. Pekan ini kasus terulang, sehingga membuat manajemen Bhinneka meminta para pemilik akun melakukan pengamanan. Adapun peretasan data pada Bukalapak merupakan kasus yang terjadi dua tahun lalu dan saat ini sudah rampung ditangani BSSN.

Anton menegaskan, aksi peretasan data dalam jagat siber masuk ranah hukum pidana. Dasar hukum yang dirujuk adalah Undang-Undang Informasi dan Transaksi Elektronik (ITE). "Tentunya, harus platform yang melaporkan ke polisi untuk kemudian ditindaklanjuti secara hukum," ucapnya.

Untuk menghindari kasus pencurian data pribadi, Pratama mengingatkan pemerintah harus segera menyelesaikan Undang-Undang Perlindungan Data Pribadi (PDP) dan Undang-Undang Ketahanan Keamanan Siber. "Nantinya, tidak hanya swasta saja yang bisa dihukum, didenda, dan dituntut ke pengadilan bila lalai dalam menjaga data masyarakat. Namun negara juga bisa menghadapi hal serupa," ujarnya.

Pemerintah juga wajib meningkatkan kesadaran siber di seluruh lapisan masyarakat. Tanpa kesadaran siber yang merata, semua instrumen hukum dan teknologi akan sia-sia karena budaya siber berkualitas rendah. Pada akhirnya, tutur Pratama, negara juga harus membuat sistem pendidikan yang menghasilkan SDM melek keamanan siber dan punya kemampuan mumpuni.

Fitri Kumalasari

- - - - - -

Kutipan

"Tokopedia memastikan tidak ada kebocoran data pembayaran."

- VP of Corporate Communications Tokopedia, Nuraini Razak

"Untuk hal yang terkait insiden siber dan kebocoran data beberapa waktu ini, BSSN saat ini tengah terus bekerja dengan berbagai pihak untuk mengambil langkah-langkah mitigasi yang dimaksudkan. Untuk sementara ini, biarkan tim bekerja."

- Juru Bicara BSSN, Anton Setiyawan

Pointer

Data user Tokopedia yang dikumpulkan berdasarkan umur dan demografi, akan menjadi big data yang bisa digunakan untuk kegiatan sosialisasi politik atau target iklan di media sosial.