Seorang hacker mengklaim telah 15 juta akun pengguna Tokopedia diretas. Platform toko online terbesar di Indonesia itu diklaim telah berhasil diretas sejak Maret lalu. Bahkan 15 juta akun itu dianggap hanya sebagian kecil dari puluhan juta akun yang berhasil mereka retas.

Akun Twitter @underthebreach pada 2 Mei 2020 memberitakan jika sang hacker mengaku mempublikaskan data akun pengguna dengan harapan ada hacker lain yang bisa membantu meretas password untuk bisa masuk ke akun-akun Tokopedia yang diretas.

Baca juga: Tokopedia Play dan Fitur Beli Langsung, Permudah Belanja

File tersebut berbasis database PostgreSQL, yang berisi informasi pengguna seperti nama lengkap, email, nomor telepon, kata sandi awal, tanggal lahir, dan detail terkait profil Tokopedia (tanggal pembuatan akun, login terakhir, kode aktivasi email, kode setel ulang kata sandi, detail lokasi, nomor messenger, hobi, pendidikan, About-me, dan banyak lagi).

Kabarnya, Tokopedia telah menghubungi Under The Breach dan mengatakan akan melakukan investigasi lebih lanjut terkait insiden ini. Untuk saat ini, pengguna Tokopedia disarankan untuk mereset kata sandi akun masing-masing.

Diklaim ada beberapa kata sandi yang tidak dapat diretas oleh peretas karena diamankan dengan algoritma hashing SHA2-384, yang saat ini dianggap aman, meskipun tidak sempurna.

Peretas itu juga mengatakan database tidak mengandung string acak berbasis salt yang digunakan untuk meningkatkan keamanan fungsi hashing SHA2-384. Tanpa salt, memecahkan kata sandi akan menjadi lebih lama sehingga pengguna memiliki cukup waktu untuk mengubah kata sandi dalam beberapa hari mendatang.

Menanggapi hal ini, pihak Tokopedia mengatakan selalu berupaya menjaga kerahasiaan data pengguna karena bisnis Tokopedia adalah bisnis kepercayaan. Keamanan data pengguna merupakan prioritas utama Tokopedia.

“Berkaitan dengan isu yang beredar, kami menemukan adanya upaya pencurian data terhadap pengguna Tokopedia, namun Tokopedia memastikan, informasi penting pengguna, seperti password, tetap berhasil terlindungi,” ujar VP of Corporate Communications Tokopedia, Nuraini Razak, kepada Gadgetdiva, Minggu, 3 April 2020.

Namun begitu, dia mengatakan, meskipun password dan informasi krusial pengguna tetap terlindungi di balik enkripsi. “Kami menganjurkan pengguna Tokopedia untuk tetap mengganti password akunnya secara berkala demi keamanan dan kenyamanan,” katanya.

Tokopedia juga menerapkan keamanan berlapis, termasuk dengan OTP yang hanya dapat diakses secara real time oleh pemilik akun, maka kami selalu mengedukasi seluruh pengguna untuk tidak memberikan kode OTP kepada siapapun dan untuk alasan apapun.

“Saat ini, kami terus melakukan investigasi dan belum ada informasi lebih lanjut yang dapat kami sampaikan,” kata Nuraini.