91 Juta Akun Tokopedia Bocor dan Dijual ke Dark Web, Ini Kronologi Lengkapnya

   Send article as PDF   

Sebagaimana telah diketahui bersama, Tokopedia dilaporkan mengalami peretasan dan 91 juta akun serta 7 juta akun merchant dijual di dark web

Sebagai catatan, pada tahun 2019 Tokopedia mengungkapkan bahwa ada sekitar 91 juta akun aktif dalam platform tersebut dan hal tersebut berarti perestas berhasil mengambil hampir semua data akun di Tokopedia berhasil diambil datanya oleh sang peretas

Peretas kemudian menjual data akun Tokopedia (berupa berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone dan hashed password) di darkweb dengan harga US$ 5 ribu atau sekitar Rp 74 juta, bahkan ada 14.999.896 data akun Tokopedia yang saat ini dapat di download




Bobolnya database akun Tokopedia tersebut bermula saat peretas Whysodank pertama kali mempublikasikan hasil peretasan, yang dilakukan pada 20 Maret 2020, tersebut di website Raid Forum pada hari Sabtu tanggal 02 Mei 2020

Pada tanggal 02 Mei 2020 pukul 16:15 WIB akun Twitter @underthebreach, menulis tweet mengenai peretasan dan me mention akun Twitter resmi Tokopedia

Dalam salah satu screenshot yang dibagikan di media sosial, disebutkan bahwa peretas tersebut masih harus memecahkan algoritma untuk membuka hashed password para pengguna Tokopedia tersebut dan meminta bantuan peretas lainnya untuk membuka kunci algoritma tersebut

Dalam screenshot berikutnya, akun peretas tersebut menyertakan sebagian database akun pengguna Tokopedia yang dapat dibuka lewat situs tersebut, berupa nama, alamat email dan nomor telepon pengguna Tokopedia

Peretas membocorkan basis data Tokopedia, perusahaan teknologi besar asal Indonesia yang menjalankan e-Commerce. Peretasan dilakukan pada bulan Maret 2020 dan berpengaruh pada 15 juta pengguna, meski peretas menyebut masih banyak lagi. Basis data (yang diretas) termasuk email, hash password, nama,” tulis akun Twitter @underthebreach

Cuitan tersebut langsung ramai ditanggapi para pengguna Twitter Indonesia dan pada hari Sabtu pukul 21.00 WIB, Tokopedia mengakui ada upaya pencurian data pengguna, sebagaimana disampaikan oleh Nuraini Razak (VP of Corporate Communications Tokopedia) terkait isu bocornya data belasan juta akun pengguna Tokopedia tersebut

Berkaitan dengan isu yang beredar, kami menemukan adanya upaya pencurian data terhadap pengguna Tokopedia, namun Tokopedia memastikan, informasi penting pengguna, seperti password, tetap berhasil terlindungi. Saat ini, kami terus melakukan investigasi dan belum ada informasi lebih lanjut yang dapat kami sampaikan,” tulis Nuraini Razak dalam keterangan resmi

Pada tanggal 03 Mei 2020 peretas Whysodank, dengan menggunakan nama akun ShinyHunters, mengumumkan bahwa dirinya telah menjual seluruh 91 juta data pengguna Tokopedia di forum dark web bernama EmpireMarket

Data terbaru dari peretas tersebut mematahkan pernyataan data peretasan sebelumnya yang menyebut hanya ada 15 juta akun Tokopedia

UPDATE: peretas yang sama sekarang menjual database lengkap dengan jumlah kira-kira 91.000.000 data dengan harga US$ 5.000 di Darknet. Hal ini sangat buruk, pastikan Anda mengganti kata sandi untuk layanan lainnta, jika Anda menggunakan kembali kata sandi,” tulis akun Twitter @underthebreach

Dikutip dari hackread.com (02/05/2020), database Tokopedia yang diperdagangkan secara online tersebut berisi data otentik milik Tokopedia hingga bulan Maret 2020

Pada hari Minggu tanggal 03 Mei 2020 siang, Tokopedia menyatakan bahwa pihaknya telah memeriksa dan juga mengkonfirmasi bahwa data pembayaran pengguna, berupa kartu debit, credit card (CC), rekening dan OVO tetap aman.

Tidak ada kebocoran data pembayaran. Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit dan OVO, di Tokopedia tetap terjaga keamanannya,” tegas Nuraini Razak kepada wartawan

Sebagai info tambahan, hashed password yang tidak dapat dipecahkan oleh peretas tersebut diamankan dengan SHA2-384, yang saat ini dianggap aman, meskipun tidak sempurna

Dilansir zdnet.com (02/05/2020), peretas tersebut menuturkan bahwa database tersebut tidak mengandung string acak tambahan yang digunakan untuk meningkatkan keamanan fungsi SHA2-384, sehingga memecahkan kata sandi tersebut akan memakan lebih banyak waktu serta memberi waktu yang cukup bagi para pengguna untuk mengubah kata sandi dalam beberapa hari mendatang




One Indonesia Satu

Website resmi One Indonesia Satu yang dimiliki Rudy Haryanto (Politisi Partai Solidaritas Indonesia (PSI), Founder One Indonesia Satu, Kerygma Ministries dan WAG IDNEWS, Citizen Reporter Persatuan Pewarta Warga Indonesia, Freelance Writer UC We-Media) dan penulis di Kompasiana)

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Yuk kita ramai-ramai subscribe YouTube Channel One Indonesia Satu dengan meng klik tombol YouTube di bawah ini

%d bloggers like this: