Pagi ini saya cukup kaget ketika lihat twitter, salah satu trendingnya adalah tokopedia. Pas saya lihat ternyata ada screenshot seorang pembobol jual data tokopedia di DarkNet. Saya kira wah paling ini hoax lah. Ternyata dia juga jual di Empire Market terganggal 3 Mei. Penjualnya bilang dia jual 91 juta data pengguna tokopedia. Pas saya check di internet ternyata tokopedia memang punya pengguna sekitar itu.

Kalau dari email penjual sih dot JP apakah bisa dipastikan pembobol dari jepang? ya belum tentu. Mungkin hanya untuk mengelabuhi.

Saya coba scroll twitter dan ternyata sudah ada yang mencoba membeli datanya yang versi 15 juta data pengguna dan mencoba beberapa emailnya dan ternyata benar!

Kalau dari info yang beredar datanya adalah PostgreSQL database dump, kalau tidak salah PosgreSQl pakai SHA2-384 hashing function. Jadi sptnya cukup susah untuk membuka passwordnya lah. Cuman klo password yang dipakai cukup gampang biasanya hash nya sudah sering beredar di Internet.

Yang sangat disayangkan adalah personal data ternyata disimpan dalam plain text. Jadi data nama, alamat, nomor HP, email, dan info-info penting lainnya disimpan dalam format text jadi langsung bisa terlihat.

Contoh datanya seperti ini

• 

Dari hal ini ada beberapa issue yang perlu kita perhatikan

1. Personal data, itu lengkap lho sampe alamat, no telp, nama lengkap dkk. Ini bisa dijual ke spammers misalnya. Jadi siap-siap saja para pengguna tokopedia besok bakal sering dapat email spam dan SMS/telp spam.
2. Kalau ada Credit card info lebih horor lagi karena dengan bermodal personal data dan nomer CC udah bisa buat belanja lho. Beberapa CCV generator juga tersedia di Internet, jadi cukup tau nomor CC dan personal data, orang jahat bisa dengan mudah menggunakannya untuk belanja online.
3. Email dan password, password pasti biasanya di hash, tapi tergantung kuat apa tidak, misal lemah dan bisa di crack ya sudah deh kelar. Apalagi kalau hobby kita adalah menggunakan password dan email yang sama untuk banyak akun. Ya panen tuh attackernya.

Terus sebagai pengguna tokopedia apa yang harus kita lakukan?

1. Kalau password yang kita pakai di tokopedia sama dengan password-password lain yang kita pakai di akun sosmed, atau akun lainnya, segera ganti password itu, tidak hanya yang di tokopedia tapi juga yang di akun-akun lainnya.
2. Bersiap-siap mungkin kedepan akan menerima banyak email spam atau SMS/telp spam/scam. Jadi lebih berhati-hati.
3. Scam ini harus diwaspadai, kedepan bisa jadi pengguna tokopedia akan sering menerima email/SMS palsu yang seakan-akan dari tokopedia misalnya. Jadi harus lebih ekstra hati-hati.
4. Mulai sekarang harus lebih aware dengan personal data, jangan sembarang masukin personal data lengkap ke platform apapun.
5. Ketika mau memasukkan personal data kita ke sebuah platform online, kita harus tahu betul bagaimana mereka mengelola data kita. Apakah data disimpan di encrypt atau tidak, di simpannya bagaimana, dimana, apakah ada jaminan keamanan dan sebagainya.

Semoga bermanfaat