Pengamat Sebut 91 Juta Data Akun Tokopedia Dijual di Dark Web
Jakarta - Pengamat keamanan internet dari Vaksincom Alfons Tanujaya mengungkap fakta baru yang cukup mencengangkan terkait data pengguna Tokopedia yang bocor.
Bukan 15 juta, Alfons mendapati 91 juta database akun Tokopedia ditawarkan di dark web.
"Pantauan Vaksincom sebenarnya ada 91 juta database yang disebarkan di dark web dan berusaha dijual dengan harga 5.000 dolar. Jadi untuk mendapatkan 91 juta informasi akun Toppers, dinilai dengan US$ 5.000. Sebenarnya apa yang terjadi?," ujar Alfons di channel YouTube-nya.
Adapun informasi yang bocor berisikan username, alamat email, nama user, tanggal lahir dan nomor telepon. Hal ini cukup mengkhawatirkan karena data tersebut bisa digunakan untuk rekayasa sosial dengan memalsukan diri sebagai Tokopedia lalu membohongi korbannya.
"Seperti Anda memenangkan undian, dapatkan voucher ini, login dari sini. Proses ini yang bertujuan untuk mencuri kredensial username dan password," terang Alfons.
Untungnya password yang bocor dalam bentuk hash artinya terenkripsi. Jadi tanpa kunci deskripsi akan sangat sulit untuk mendapatkan password. Salah satu metodenya lewat bruteforce, tapi ini bisa terjadi kalau dari Tokopedia tidak memblokir proses tersebut.
"Jadi kalau diblokir, login gagal sekali ditahan dulu misalkan 20 menit, gagal 2 kali tahan 40 menit, gagal 3 kali tahan 1 jam dan seterusnya. Jadi secara teknis sangat sulit kalau ada proteksi brute force," terang Alfons.
Andaikan username dan password dalam kasus ini berhasil dijebol, Tokopedia sudah memiliki proteksi otomatis two factor authentication. Jadi pengguna diberikan opsi verifikasi ke WhatsApp atau SMS.
Jika klik WhatsApp, maka kode akan dikirim verifikasi ke WhatsApp. Tapi dengan catatan user yang login ke perangkat baru.
"Jika Anda tidak pernah login dari perangkat baru mendadak di WhatsApp Anda muncul verifikasi Tokopedia atau SMS Anda muncul verifikasi Tokped, artinya kredensial Anda sudah bocor dan Anda harus segera mengganti kredensial Anda," saran Alfons.