Selain Tokopedia, Tiga E-Commerce Ini Pernah Diretas

Platform e-commerce kerap menjadi sasaran upaya peretasan dan pencurian data pribadi. Teranyar, data 91 juta pengguna Tokopedia dikabarkan diretas dan dijual melelalui situs gelap atau darkweb seharga US$ 5000 atau sekitar Rp 73,4 juta.

Isu itu pertama kali diungkap oleh akun media sosial Twitter bernama @underthebreach pada Sabtu (2/5) lalu. Peretas disebut memiliki data 15 juta akun pengguna Tokopedia dalam bentuk mentah (hash), termasuk nama, email, hingga kata sandi.

Dalam tangkapan layar yang dibagikan @underthebreach, terlihat bahwa peretas tengah mencari pihak lain yang mampu memecahkan algoritma dari data mentah tersebut. “Ini sangat buruk, pastikan Anda mengganti kata sandi untuk layanan lain, jika Anda menggunakan kembali kata sandi itu,” demikian disebut pada akun tersebut.

Tokopedia pun langsung menyelidiki perihal kabar pencurian data pengguna tersebut. “Saat ini, kami terus melakukan investigasi," kata VP of Corporate Communications Tokopedia Nuraini Razak, pada Minggu (3/5) lalu.

(Baca: Tokopedia dan Bukalapak Diretas, Ini Dua Modus Bobol E-commerce)

Demi alasan keamanan, Nuraini pun menganjurkan pengguna Tokopedia untuk mengganti kata sandi secara berkala, kendati data tersebut sudah terlindungi di balik enskripsi. Ia juga menghimbau agar pengguna tidak memberikan kode keamanan OTP kepada pihak lain untuk alasan apapun.

Upaya peretasan dan pencurian data pengguna pada platform e-commerce bukan pertama kalinya terjadi. Sejumlah e-commerce lain pun pernah mengalami hal serupa. Berikut daftarnya:

1. Bukalapak

Pembajakan data pengguna pernah menimpa platform e-commerce Bukalapak tahun lalu. Pada 18 Maret 2019, seorang peretas asal Pakistan mengklaim telah mencuri data sekitar ratusan juta akun dari 32 situs, yang di antaranya adalah 31 juta akun pengguna Bukalapak.

Laman The Hacker News menulis, peretas yang bersembunyi dibalik nama Gnosticplayers mengaku menjual data curiannya ke dark web Dream Markets dengan total harga mencapai 1,2431 Bicoin atau setara dengan US$ 5000.

(Baca: Tokopedia Dikabarkan Dibobol, Warganet Malah Soroti Keamanan Bukalapak)

Pihak Bukalapak mengklaim upaya peretasan tersebut berhasil digagalkan. Head of Corporate Communications Bukalapak Intan Wibisono memastikan bahwa data-data penting milik pengguna seperti kata sandi, rekaman finansial, serta informasi pribadi lain milik pengguna tetap aman.

Bukalapak juga mendorong para penggunanya untuk mengganti kata sandi secara berkala. Intan juga menghimbau para pengguna untuk mengaktifkan mengaktifkan sistem keamanan dua arah (two-factor authentication), serta menggunakan security guide lain yang sudah disediakan Bukalapak.

2. Uniqlo

Retail asal Jepang, Uniqlo mengalami peretasan pada situs e-commerce miliknya tahun lalu. Induk dari Uniqlo, Fast Retailing mengatakan, peretasan dilakukan antara 23 April hingga 10 Mei 2019 lalu, dan terdeteksi lewat login mencurigakan dalam jangka waktu tersebut.

Dalam aksinya, peretas mencuri 461.091 data pengguna Uniqlo yang mencakup nama pengguna, alamat e-mail, nomor kontak, hingga informasi kartu kredit. Pihak Uniqlo pun langsung mengirim peringatan kepada ke e-mail pengguna terdampak untuk mengganti kata sandinya.

Fast Retailing juga melaporkan kasus ini ke Kepolisian Metropolitan Tokyo. “Fast Retailing dengan tulus meminta maaf atas masalah dan kekhawatiran yang ditimbulkan oleh ini kepada para pelanggan dan semua yang terdampak,” demikian keterangan mereka, mengutip Channel News Asia.

3. Lazada

Situs platform e-commerce Lazada pernah hampir mengalami peretasan pada lima tahun lalu. Pada 13 Januari 2015, tampilan sebuah halaman yang berkaitan dengan promosi penjualan sejumlah produk Lazada dimanipulasi oleh peretas.

(Baca: Kominfo: Nomor Ponsel & E-mail Pengguna Tokopedia Kemungkinan Dibobol)

Untungnya, peretasan tersebut tidak berujung pada aksi pencurian data pengguna Lazada. “Data konsumen adalah prioritas kami dan hingga saat ini tidak ada data yang diambil,” kata PR Manager Lazada Indonesia, Tania Amalia mengutip CNN Indonesia.

Salah satu yang halaman promosi yang diretas beralamat https://promo.lazada.co.id. Ketika diakses, halaman tersebut sempat menampilkan gambar kartun sosok monster yang sedang tersenyum dengan latar belakang hitam.

Halaman juga menampilkan keterangan teks "Tidak ada unsur menjatuhkan, politic, dll cuman ngetest doang kok, no backdoor just nitip file Peace.... Lazada Got pwnz ??? lolz." Peretas juga meninggalkan identitas alias, seperti "SultanHaikal, d3b~X, Index Php, Coup De Grace, Brian Kamikaze, dan Mdn_Newbie."

Reporter: Nobertus Mario Baskoro