Informasi peretasan data ini pertama kali diungkap akun Twitter @underthebreach. Menurut akun tersebut, data jutaan pengguna Tokopedia tersebut telah disebarkan di forum online.
Data yang diretas tak lain seperti hash password, nama, dan alamat e-mail, data yang diretas juga mencakup tanggal lahir, kode aktivasi e-mail, kode reset password, detail lokasi, ID messenger, hobi, pendidikan, waktu pembuatan akun hingga waktu terakhir log-in.
Namun, dalam daftar akun yang terkumpul di database berjenis PostgreSQL itu, disinyalir tidak disertakan dengan kode spesifik atau biasa disebut "salt". Rangkaian kode salt ini berguna untuk melindungi kata sandi pengguna dengan algoritma. Dengan demikian, diperlukan waktu bagi peretas untuk menebak serta membobol akun pengguna.
Meski membenarkan adanya upaya pencurian data, Tokopedia mengklaim bahwa informasi milik pengguna tetap aman dan terlindungi. Pihak Tokopedia mengatakan, password milik pengguna telah terlindungi dan dienkripsi. Selain itu, Tokopedia mengklaim telah menerapkan sistem kode OTP (one-time password) yang hanya bisa diakses secara real time oleh pemilik akun.
Tim pengamanan siber Tokopedia mengklaim bahwa data pengguna mereka tetap aman meski ada upaya peretasan. Meskipun begitu, pihak Tokopedia tetap mengimbau agar pengguna tetap mengganti password akun secara berkala agar tetap aman dan mereka berjanji menindak lanjuti masalah ini.
Baca Juga:
- Bahayanya Menggunakan Aplikasi Zoom Meetings untuk Video Conference
- Apakah Aplikasi Bajakan atau Crack Berbahaya?
- WhatsApp Hack Semarak. Spyware Pegasus di Belakangnya?
Di sisi lain, menurut Alfons Tanujaya, pakar keamanan dari Vaksin.com, data yang tersebar di dunia maya memang benar merupakan database pengguna Tokopedia. Kendati demikian menurut Alfons, hanya username saja yang terpapar, sementara password-nya di-hash. Secara teknis, hash sulit untuk dipecahkan.
Sebagai gambaran, data hash kira-kira mirip seperti data password yang dienkripsi dengan public key, dan yang terlihat adalah data yang sudah diacak dan pengacakan itu satu arah. Dengan kata lain, sudah ada metode enkripsi yang dapat mengubah data yang di input berupa teks (seperti password) menjadi output seperti kode acak.
Sebagai contoh, Alfons menjelaskan, misalnya pengguna membuat password "12345" lalu di-hash menjadi "ker2k3k". Maka server akan membandingkan password yang disimpannya, dan hanya melihat apakah hash dari password yang dimasukkan itu benar "ker2k3k".
Jadi, sekalipun admin server-nya sendiri mengkopi data, dia akan mendapatkan password "ker2k3k" itu dan tidak bisa digunakan untuk login karena itu merupakan password yang sudah di-hash.
Namun demikian, belakangan diketahui, data password pengguna Tokopedia yang tersebar tersebut diamankan menggunakan metode salting. Metode tersebut merupakan pengamanan tingkat lanjut dari metode hash. Metode salt ini disebut lebih aman ketimbang hash.
Inti dari pernyataan Alfons adalah, password dari akun pengguna Tokopedia kemungkinan besar tetap aman sesuai klaim Tokopedia.
Akan tetapi, informasi penting lain milik pengguna bisa saja sudah didapatkan oleh peretas dan bisa dimanfaatkan untuk kejahatan. Langkah pertama yang perlu dilakukan pengguna adalah mengganti password dan mencopot layanan keuangan yang terhubung dengan akun Tokopedia. Anda tentunya tidak ingin pemasaran Anda terdampak gara-gara ulah peretas akun Tokopedia Anda bukan? Yuk, segera ganti password!
