"Selanjutnya, mengganti semua password dari akun media sosial dan platform marketplace selain Tokopedia," kata Pratama Persadha ketika menjawab pertanyaan ANTARA di Semarang, Minggu, melalui WA-nya.
Akibat peretasan Tokopedia ini, bisa menjalar ke akun media sosial dan platform lainnya bila menggunakan email dan password yang sama. Khusus admin akun medsos pemerintah dan lembaga, menurut Pratama, harus cepat melakukan pengamanan akun sebagai langkah antisipasi.
Pratama yang juga Ketua Lembaga Riset Keamanan Siber dan Komunikasi CISSReC mengemukakan hal itu ketika merespons kasus peretasan terhadap Tokopedia, sebagaimana cuitan akun Twitter @underthebreach.
"Namun, jumlahnya tidak lagi 15 juta seperti diinfokan sebelumnya, bahkan diperkirakan 91 juta akun dan 7.000.000 akun merchant," kata Pratama.
Data pengguna Tokopedia. ANTARA/HO-CISSReC
Sebelumnya, pada tahun 2019 Tokopedia menginfokan bahwa ada sekitar 91 juta akun aktif di platformnya. Artinya, hampir semua akun di Tokopedia diambil datanya oleh peretas.
Menurut Pratama, pelaku menjual data di dark web berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone, dan password yang masih ter-hash atau tersandi.
"Semua dijual dengan harga 5.000 dolar Amerika Serikat atau sekitar Rp74 juta. Bahkan, ada 14.999.896 akun Tokopedia yang datanya saat ini bisa di-download," kata Pratama.
Kejadian seperti ini, lanjut dia, harus cepat direspons oleh pihak Tokopedia dan juga para penggunanya. Masalahnya, ancaman penipuan dan pengambilalihan akun bisa terjadi kapan saja.
Pratama menjelaskan bahwa peretas Whysodank pertama kali memublikasikan hasil peretasan di raid forum, Sabtu (2/5).
Selanjutnya, peretas ShinyHunters mem-posting thread penjualan 91 juta akun Tokopedia di forum dark web bernama EmpireMarket. Dari sinilah akun @underthebreach memublikasikan peretasan Tokopedia ke publik Twitter.
"Memang data untuk password masih dienkripsi. Namun, tinggal menunggu waktu sampai ada pihak yang bisa membuka," kata pria kelahiran Cepu, Kabupaten Blora, Jawa Tengah ini.
Pratama lantas melanjutkan, "Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada password."
Meski password masih dalam bentuk acak, menurut Pratama, data lain sudah plain alias terbuka. Artinya, semua peretas bisa memanfaatkan data tersebut untuk melakukan penipuan dan pengambilalihan akun-akun di internet. Misalnya, mengirimkan link phising maupun upaya social engineering lainnya.
Oleh karena itu, pakar keamanan siber ini menekankan Tokopedia melakukan update dan informasi kepada seluruh penggunanya segera.
Pasalnya, jika password sudah dibuka oleh pelaku, salah satu yang akan dilakukan adalah takeover (pengambilalihan) akun. Pelaku lantas secara random akan mencoba melakukan takeover akun medsos dan marketplace lainnya karena ada kebiasaan penggunaan password yang sama untuk semua platform.
Baca juga: Wamenag ikuti penanganan kasus peretasan akun twitter pribadinya
Baca juga: Polisi klarifikasi peretasan akun Twitter Zainut Tauhid Saadi
Baca juga: Mantan insinyur Yahoo akui retas 6.000 akun
Baca juga: Akun Instagram Luna Maya diretas
Baca juga: Nintendo benarkan 160.000 akun diakses dalam upaya peretasan
Pewarta: D.Dj. Kliwantoro
Editor: Ruslan Burhani
Copyright © ANTARA 2020