Tidak Ada Sistem TI Perusahaan yang 100 Persen Aman

Pencuri dengan Whysodank selanjutnya menggunakan nama akun ShinyHunters kemudian menjualnya di darkweb bernama EmpireMarket. Semua data yang dicuri dijual dengan harga 5.000 dollar AS atau sekitar 74 juta rupiah. Untuk mengupas peretasan dan pencurian data publik itu, Koran Jakarta mewawancarai pakar keamanan teknologi informasi (TI) dari Eset, Yudhi Kukuh. Berikut petikannya.

Bagaimana komentar Anda terkait dengan dugaan pembobolan data pengguna jual beli online di Tokopedia?

Fenomena ini hal biasa. Peretas bukan hanya mengetes sistem keamanan perusahaan saja. Mereka juga mulai mencari uang dari aksi kejahatan mereka.

Menurut Anda, apakah sistem keamanan teknologi informasi di Tokopedia lemah sehingga bisa diretas?

Tidak ada sistem keamanan yang 100 persen aman dari peretasan. Masalahnya kan kecepatan merespons hal ini. Kebetulan Tokopedia kurang cepat merespons serangan yang masuk, atau mungkin sedang kurang beruntung sehingga bisa bobol.

Umumnya buat apa data yang dibobol oleh peretas?

Data biasanya dijual kepada yang membutuhkan. Belum tentu dijual ke pesaing karena hacker asing belum tentu tahu kondisi persaingan e-commerce di sini. Jadi, mereka yang butuh adalah orang-orang yang ingin melakukan phising dan spam. Jadi, kalau tiba-tiba email atau SMS kita dipenuhi dengan penawaran tertentu, itu namanya phising.

Phising dari kata fishing atau memancing adalah suatu metode untuk melakukan penipuan dengan mengelabui target dengan maksud untuk mencuri akun target. Phising bisa dikatakan mencuri informasi penting dengan mengambil alih akun korban untuk maksud tertentu.

Bagaimana hal ini bisa bocor, mengingat peretas tidak mengetahui password?

Kalau yang saya tahu dari forum diskusi, peretas bertanya kepada orang lain untuk membuka hash dari password. Peretas pun meminta bantuan peretas lain untuk membuka kunci algoritma itu. Tapi, password masih dalam bentuk acak, namun peretas sudah dapat membukanya. Mereka akhirnya dapat mengambil data yang diperlukan untuk dijual ke pasar galap.

Apa saran Anda kepada pelanggan Tokopedia atau pemilik akun Tokopedia?

Tidak perlu resah. Itu kan hanya pencurian identitas. Selama transaksi aman tidak masalah. Saya saja masih melakukan transaksi di Tokopedia. Namun yang jelas bagi pemilik akun Tokopedia, saya sarankan untuk mengganti password dan OTP.

OTP merupakan password yang dapat memvalidasi upaya masuk ke dalam akun atau untuk melakukan hanya sebanyak satu kali. OTP bertujuan menghindari kelemahan yang dimiliki oleh sistem autentikasi berbasis password statis.

Risiko lainnya bagi pelanggan mungkin email atau SMS mereka akan kebanjiran phising dan SMS spam.

Apa yang harus dilakukan Tokopedia?

Kadang-kadang email perusahaan terlalu lemah. Mereka menggunakan email yang sama untuk log in ke beragam tempat. Selain menggunakan email yang dengan kombinasi huruf dan angka, saya menyarankan agar sering mengganti password. n hay/P-4