Mengapa E-commerce jadi Sasaran Empuk Pembobolan Data?
Belasan juta data pribadi pengguna e-commerce Tokopedia dan Bukalapak bocor dan diperjualbelikan di situs gelap. Ahli IT menyebut, kedua situs jual beli online tersebut menjadi sasaran empuk peretas lantaran memiliki sejumlah data pribadi jutaan pengguna.
Chief Digital Forensic PT DFI Ruby Alamsyah mengatakan kebocoran data yang terjadi pada Tokopedia akhir-akhir ini, dengan Bukalapak pada tahun lalu mempunyai kesamaan pola. Data yang bocor pada kedua e-commerce tersebut merupakan data pribadi yakni nama, nomor ponsel, dan email pengguna.
Pembobol di kedua e-commerce ini berupaya menjual data di situs gelap atau dark web. Jual beli data e-commerce tersebut juga viral di satu platform yang sama, yaitu Twitter.
Menurut Ruby, pembobol mengincar e-commerce karena data yang dimiliki rawan. "Mereka sudah amankan password dengan algoritma hashing khusus. Tapi kesalahannya, mereka tidak mengamankan secara optimal data pribadi lainnya," kata dia kepada Katadata.co.id, Rabu (6/5).
Selain itu, pembobol menyasar e-commerce lantaran data yang dihasilkan cukup banyak. Dengan begitu, data yang berhasil diperoleh dapat mendatangkan keuntungan banyak bagi pembobol.
"Yang motif ekonomi jelas kalau ada perusahaan besar di e-commerce ada banyak data. Nilainya besar," kata Ruby.
(Baca: Video: Tokopedia Diretas, Tips Lindungi Data Pribadi dari Hacker)
Data Tokopedia yang berhasil dibobol dikabarkan dijual seharga US$ 5ribu atau sekitar Rp 73,4 juta. Ia pun berharap kebocoran data yang dialami dua e-commerce besar ini dapat menjadi pelajaran bagi pelaku lainnya. "Jadi mikir, 2019 sudah bocor, kok 2020 bocor dengan data yang sama. Terkesan tidak ada pembelajaran," kata dia.
Menurutnya, meskipun sistem password pengguna sudah aman dan tidak bisa dibobol, tetapi data pribadi pengguna bobol juga. Padahal, data pribadi pengguna juga sama pentingnya.
"Data ini sangat penting mengacu ke privasi. Kenapa tidak diamankan secara optimal juga," kata dia.
Apabila perusahaan hanya mengandalkan keamanan password saja, maka terkesan melindungi diri sendiri agar transaksi tidak dilakukan secara ilegal. Data pribadi itu pun dapat dimanfaatkan oleh pembobol untuk kejahatan siber lainnya.
Pelaku dapat menjadikan data pribadi pengguna sebagai database baru untuk peretasan di platform lainnya seperti WhatsApp. "Banyak potensi kejahatan siber lainnya dengan kemunculan data pribadi dari e-commerce," ujar Ruby.
(Baca: 13 Juta Data yang Diklaim Pengguna Bukalapak Dijual di Dark Web)
Data 91 juta pengguna Tokopedia dikabarkan diretas dan dijual melelalui situs gelap atau darkweb. Isu itu pertama kali diungkap oleh akun media sosial Twitter bernama @underthebreach pada Sabtu (2/5) lalu.
Peretas disebut memiliki data 15 juta akun pengguna Tokopedia dalam bentuk mentah (hash), termasuk nama, email, hingga kata sandi. Dalam tangkapan layar yang dibagikan @underthebreach, terlihat bahwa peretas tengah mencari pihak lain yang mampu memecahkan algoritma dari data mentah tersebut.
Pada tahun lalu, Bukalapak pun mengalami kejadian serupa. Seorang peretas asal Pakistan mengklaim telah mencuri data sekitar ratusan juta akun dari 32 situs, yang di antaranya adalah 31 juta akun pengguna Bukalapak.
Laman The Hacker News menulis, peretas yang bersembunyi dibalik nama Gnosticplayers mengaku menjual data curiannya ke dark web Dream Markets dengan total harga mencapai 1,2431 Bicoin atau setara dengan US$ 5 ribu.