GELORA.CO - Isu kebocoran data pengguna Tokopedia memunculkan pertanyaan terkait keamanan akun kartu kredit dan dompet digital Ovo di dalamnya. Ahli keamanan siber pun menyarankan agar pengguna menghapus akun pembayaran mereka dari Tokopedia.
Menurut Alfons Tanujaya, seorang ahli keamanan siber dari perusahaan penyedia layanan anti-virus Vaksincom, pengguna bisa mengamankan kartu kredit dan Ovo miliknya jika merasa takut diretas hacker.
"Kalau mau paranoid, ya, memang praktik sekuriti yang benar itu tidak disarankan menyimpan nomor kartu kredit di layanan apapun karena artinya kita menyerahkan keamanan data kita kepada pihak ketiga," kata Alfons ketika dihubungi, Minggu (3/5).
Isu kebocoran data pengguna di Tokopedia mencuat ketika sebuah akun Twitter bernama Under the Breach, mempublikasi screenshot yang menyatakan pada Maret 2020 lalu, hacker telah mencuri 15 juta data pengguna Tokopedia berupa email, username, nomor HP, tanggal lahir, dan hash password. Peretas tampaknya kesulitan membuka hash yang mengunci salah satu data, sehingga meminta bantuan sesama peretas yang bisa memecahkannya.
Hash sendiri adalah sebuah algoritma yang mengubah suatu data informasi berupa huruf, angka, atau simbol menjadi karakter terenkripsi. Fungsi hash biasanya dimanfaatkan untuk menyembunyikan password asli.
Pada Minggu (3/5), Under the Breach melaporkan bahwa hacker menjual 91 juta data pengguna Tokopedia di dark web.
Platform digital pun disarankan untuk memisahkan penyimpanan metode pembayaran kartu kredit dari layanan mereka. Hal ini ditujukan untuk menekan risiko pencurian jika layanan e-commerce ternyata berhasil diretas hacker.
"Kalau berbicara lebih detail lagi ke teknis sekuriti, harusnya ada pemisahan yang sangat jelas pada metode penyimpanan kartu di mana dalam praktiknya memang data kartu yang disimpan tidak disimpan di sisi e-commerce, tetapi di sisi layanan pembayaran seperti Midtrans," kata Alfons. "Sehingga andaikan server penyelenggara (e-commerce) diretas, data kartu kredit tetap aman di server lain."
Alfons menjelaskan, kerentanan keamanan kartu kredit tak hanya dimiliki oleh Tokopedia. Platform e-commerce lain yang menyimpan kartu kredit pengguna di dalam layanan mereka juga punya kerentanan yang sama.
Alfons mengatakan, proteksi kartu kredit di platform e-commerce saat ini hanya menggunakan kode keamanan kartu (card verification value/CVV). Menurutnya, hal tersebut tidak cukup untuk memverifikasi apakah benar transaksi yang ada memang dilakukan pengguna sebenarnya.
Verifikasi transaksi tersebut bisa diupayakan melalui autentikasi dua faktor (TFA). Namun, kata Alfons, hal tersebut tidak dilakukan e-commerce dengan alasan kemudahan.
"Kalau data Ovo sendiri juga memang rentan disalahgunakan, sekalipun diproteksi dengan nomor PIN," kata Alfons. "Tetapi risikonya secara nominal lebih kecil dibandingkan dengan risiko kartu kredit karena umumnya saldonya (Ovo) terbatas."
Dalam sebuah pernyataan terbaru, Tokopedia memastikan bahwa transaksi dengan semua metode pembayaran tetap terjaga keamanannya, termasuk transaksi dengan kartu debit, kartu kredit, dan uang elektronik Ovo.
Tokopedia meminta pengguna untuk mengganti password mereka dan ini harus dilakukan secara berkala.
Perusahaan mengakui ada percobaan pencurian data pribadi pengguna mereka. Tapi, password dan informasi penting pengguna masih terlindungi. Mereka saat ini sedang menginvestigasi isu pencurian data pengguna mereka.
"Meskipun password dan informasi krusial pengguna tetap terlindungi di balik enkripsi, kami menganjurkan pengguna Tokopedia untuk tetap mengganti password akunnya secara berkala demi keamanan dan kenyamanan," kata Nuraini Razak, VP of Corporate Communications Tokopedia, Sabtu (2/5). []