Tokopedia salah satu situs e-commerce terbesar di Indonesia mendapat cobaan yang cukup berat di tahun 2020 ini. Ada sekitar 91 juta akun yang coba dijual melalui dark web dengan nilai USD 5000.
Setidaknya ada 15 juta akun yang terdaftar di Tokopedia yang dijadikan sebagai sampel. Adapun data yang terekspos yaitu berisikan nama lengkap, nomor telepon, tanggal lahir, hashed password, dan detail terkait profil Tokopedia (tanggal pembuatan akun, login terakhir, kode aktivasi email, detail lokasi, hobi, pendidikan, dan banyak hal lainnya).
Pada artikel ini kita akan membahas satu per satu mulai dari apa itu security breach dan beserta langkah yang harus dilakukan oleh pengguna saat mendengar adanya peretasan di situs besar, salah satunya Tokopedia ini.
Apa itu Security Breach?
Security breach adalah pelanggaran keamanan yang dilakukan oleh penyusup, yang di mana si penjahat siber tersebut berhasil mendapatkan akses yang tidak sah ke sistem dan data yang diproteksi oleh sebuah organisasi.
Penjahat siber atau malware melakukan bypass terhadap mekanisme keamanan untuk mencapai area terlarang. Security breach juga menyebabkan kerusakan sistem atau kehilangan data.
Beberapa layanan besar seperti Facebook, Yahoo, dan Equifax juga pernah mengalami kasus serupa, bahkan dengan angka pengguna yang jauh lebih besar dibandingkan Tokopedia.
Belum lama kasus serupa juga menimpa kompetitor dari Tokopedia, yaitu Bukalapak. Langkah yang kamu harus lakukan berikutnya yaitu mengecek apakah akun kamu termasuk yang dicuri oleh si penjahat siber tersebut.
Apakah Akun Tokopedia Saya Termasuk yang Dihack?
Jawabannya bisa jadi iya, bisa juga tidak. Kita belum mendengar pengumuman resmi terkait hal ini dari pihak Tokopedia. Apakah itu keseluruhan akun Tokopedia yang diretas atau hanya sebagian dari pengguna saja.
Salah satu cara yang bisa kamu lakukan yaitu dengan mengecek email yang didaftarkan di Tokopedia melalui situs haveibeenpwned.com. Jika email yang kamu daftarkan ada yang pernah mengalamai data breach, situs tersebut akan memberitahukannya.
Selain situs tersebut, bisa kamu juga menggunakan layanan yang serupa dari Avast, Breachalarm, Dehashed, Databreach, dan Haveibeensold.
Setelah dicek ternyata akun saya termasuk yang dicuri, apa yang harus dilakukan?
Apa yang Harus Dilakukan Sebagai Korban Data Breach?
Setelah dicek akun kamu ternyata menjadi salah satu korban dari data breach, cek kebenaran data tersebut ke pihak terkait. Apa saja yang dicek? Pertama, apakah benar telah terjadi kasus pembobolan data.
Kedua, tanyakan juga data apa saja yang berhasil dicuri dari kasus data breach tersebut. Informasi ini penting karena akan membantu kamu untuk melindungi data penting lain seperti email, kartu kredit, dst.
Kasus data breach bisa dibilang permulaan dari berbagai macam serangan siber yang akan terjadi di masa depan. Para penjahat siber umumnya akan melakukan credential stuffing, yaitu serangan siber yang menargetkan korban data breach.
Password yang sebelumnya berhasil dicuri dan diungkap kata sandi yang dilindingi dengan hash tertentu. Kini, akan dilakukan percobaan untuk login dengan kata sandi yang sama di beberapa layanan populer, bisa Facebook, Gmail, dst.
Kebiasaan orang menggunakan password yang sama untuk seluruh akun yang dimiliki, akan dimanfaatkan oleh penjahat siber untuk melakukan aksi peretasan berikutnya.
Sebuah Survey dari Secureauth, mengatakan bahwa 81% pengguna menggunakan password yang sama di dua atau lebih situs dan 25% pengguna menggunakan password yang sama pada mayoritas akun mereka.
Lakukan beberapa langkah berikut ini saat terjadi data breach:
1. Segera Reset Password
Reset password bisa dilakukan melalui dua cara yaitu dengan login terlebih dahulu, baru kemudian mengganti password, atau klik tombol forgot password saat di halaman login.
Buatlah kata sandi yang kuat dan disimpan pada Password Manager. Jangan menggunakan kata sandi yang sama untuk keseluruhan akun. Buatlah password yang berbeda-beda untuk setiap akun.
Kalau password kamu saat ini sama semua, sebaiknya segera ganti password seluruh akun, seperti yang disampaikan sebelumnya bisa jadi ada serangan lanjutan atas insiden data breach.
2. Aktifkan Fitur 2FA
Situs besar e-commerce di Indonesia umumnya memiliki fitur 2FA, kamu perlu mengaktifkan fitur ini sebagai proteksi tambahan. Saya menyarankan agar fitur 2FA tidak hanya diaktifkan pada akun di situs e-commerce saja. Fitur tersebut juga perlu diaktifkan pada layanan email, sosial media, blog, password manager, dst.
3. Hati-hati dengan Pesan Penipuan
Serangan lanjutan bisa saja dimulai dari sebuah pesan penipuan yang berisi perangkap phising. Si penjahat siber bisa saja mengirim email secara masal ke jutaan orang yang ada di list data breach.
Ia mengirimkan link ke sebuah situs yang menyerupai halaman login dari internet banking, website e-commerce, sosial media, dll seolah-olah otentik padahal situs tersebut adalah website kamuflase untuk menjebak korban.
Korban yang tertipu lantas akan memasukan username dan password tanpa merasa adanya kejanggalan. Setiap kali ada korban yang menginput username dan password, ada sebuah log yang tersimpan pada situs phising.
Log tersebut berisikan kumpulan username dan password, orang-orang yang menginputkan diri di situs phising. Tahap berikutnya si peretas bisa melakukan aksi kejahatan siber, seperti memeras korban, menyebarkan malware ke teman-teman si korban dengan akun yang sebelumnya berhasil diretas, dst.
4. Monitor Kartu Kredit
Salah satu data yang paling berharga dari kasus semacam data breach adalah informasi lengkap dari kartu kredit. Mulai dari 16 digit angka yang tertera pada kartu, masa berlaku kartu kredit, nama si pemegang kartu, dan 3 nomor CVV.
Kalau kamu khawatir kartu kredit ini bisa disalahgunakan karena kasus data breach. Maka kamu bisa ganti kartu kredit dengan yang baru atau tutup kartu kredit yang saat ini digunakan.
Jika kedua opsi tersebut tidak ingin dilakukan, pilihan berikutnya yaitu memonitoring setiap transaksi kartu kredit. Pihak bank biasanya mengirimkan laporan bulanan, baik yang berbentuk surat maupun email.
Cek apakah ada transaksi yang mencurigakan atau tidak, jika menemukan transaksi yang aneh atau yang tidak biasa. Segera lapor ke bank terkait, apabila ada penyalahgunaan kartu kredit yang kamu gunakan.
Saya menyarankan bagi kamu yang suka bertransaksi dengan menggunakan kartu kredit atau kartu debit. Jangan pernah menyimpan data kartu tersebut pada situs e-commerce, lebih baik input manual setiap kali transaksi itu jauh lebih aman.
—
Semoga tips di atas bisa bermanfaat, jangan lupa bagikan di Facebook, Twitter, LinkedIn, WhatsApp, dan Line ya ke teman-teman yang lain.