SeputarJonggol.com – Akun @underthebreach mengungkapkan adanya kebocoran data 15 juta akun pengguna Tokopedia berupa email, hash kata kunci (password), nama, dan lainnya. Bahkan data tersebut diperjualbelikan di sebuah situs gelap dan tengah diupayakan untuk diretas oleh para peretas global.
Manajemen Tokopedia mengakui ada upaya pencurian data pengguna, namun perusahaan memastikan bahwa password tetap berhasil terlindungi, sehingga belum ada pengambilalihan akun. Kendati begitu, perusahaan e-commerce itu melakukan investigasi lebih lanjut.
Lantas bagaimana bila akun pengguna terlanjur dibobol oleh peretas?
Pengamat keamanan siber dari Vaksin.com Alfons Tanujaya mengatakan langkah awal bila akun e-commerce terlanjur dibobol adalah mengubah password. Biasanya, pengajuan akan dikonfirmasi ke email asli yang masih dikuasai oleh pengguna, sehingga pergantian password kemungkinan berhasil.
“Langsung lakukan ubah password, recover dari yang sebelumnya selama peretas belum mengubah password akun pengguna,” ucap Alfons kepada CNNIndonesia.com, Minggu (3/5).
Menurut Alfons, bila berhasil, maka akun tidak bisa dikelola oleh peretas lagi. Namun password yang digunakan harus cukup sulit dibandingkan yang sebelumnya, sehingga tidak mudah tertebak.
Bila akun sudah diambil alih kembali, lalu periksalah histori belanja dan saldo di dompet digital (e-wallet). Menurutnya, bila ada transaksi yang tidak pernah dilakukan pengguna, maka bisa dilaporkan ke Tokopedia.
Sebab, masih memungkinkan tindakan pembatalan transaksi dan atau pengembalian dana. Namun, bila tindakannya berupa transfer dana, maka dipastikan raib.
Kemudian, ketika sudah berhasil mengambilalih akun, beri tambahan pengamanan baru, misalnya menggunakan Two Factor Authentication (TFA). Sebab, menurutnya, tingkat keamanan username dan password sangat lemah dan mudah dijebol.
“Ini perlindungan terbaik, jadi kalau sewaktu-waktu username dan password diambil alih, peretas tidak bisa sepenuhnya masuk karena akan tetap diminta password tambahan,” katanya.
Lalu, hindari trojan atau perangkat lunak berbahaya yang dapat merusak sistem atau jaringan. Begitu pula dengan keylogger atau aplikasi yang bisa merekam aktivitas pengguna komputer.
“Pastikan perangkat, baik handphone maupun komputer terhindar dari trojan dan keylogger yang bisa mencuri keystock untuk meretas,” ungkapnya.
Selanjutnya, aktifkan pembaharuan versi (automatic update) aplikasi. Menurutnya, penggunaan versi terbaru dari suatu aplikasi yang digunakan pengguna bisa mencegah peretasan karena biasanya ada penambahan tingkat keamanan di setiap versi terbaru.
Salah satunya, bisa menghindari dari upaya penipuan atau phising dari pihak lain. Alfons bilang upaya-upaya ini sejatinya juga bisa dilakukan pengguna sebagai langkah pencegahan untuk memperkuat keamanan akun dan meminimalisir peretasan.
Pencegahan lain, sambungnya, bisa dilakukan dengan tidak menyimpan nomor rekening kartu debit dan kredit di akun e-commerce. Begitu pula dengan kode CVV sebagai ketentuan final sebelum transaksi dilakukan.
“Jadi lebih baik repot memasukkan nomor kartu debit, kartu kredit ketika mau transaksi, daripada disimpan secara otomatis. Itu memudahkan penggunaan dana ketika sudah berhasil dibobol,” jelasnya.
Kemudian, isilah e-wallet dengan saldo secukupnya sesuai kebutuhan. Saat ini, batas maksimal saldo e-wallet mencapai Rp10 juta, namun bila kebutuhan hanya Rp500 ribu sampai Rp1 juta, maka tak perlu ‘menabung’ di e-wallet.
Di sisi lain, ia turut menghimbau agar e-commerce senantiasa melakukan peningkatan keamanan server. Sebab, kejadian pembobolan sejatinya juga bisa terjadi karena kelalaian pengamanan server.
Kendati begitu, pengamat keamanan siber sekaligus CEO Digital Forensic Indonesia Ruby Alamsyah mengatakan pengguna Tokopedia dan e-commerce lain tidak perlu langsung khawatir dengan kejadian ini. Sebab, menurut penelusurannya, upaya para peretas ini belum berhasil membobol password akun, di mana password masih acak (hashing).
Sementara proses membaca password diperkirakan masih membutuhkan waktu beberapa hari setelah data pribadi diketahui.
“Jadi tidak perlu khawatir berlebih karena belum bisa terbaca secara langsung, meski email, aktivitas login, dan lainnya sudah berhasil didapat. Tapi baiknya sekarang seluruh pengguna melakukan ubah password untuk pencegahan,” jelasnya. (dari berbagai sumber)