tirto.id - Setidaknya 15 juta data akun pengguna Tokopedia dibobol dan dijual di dark web pada Maret lalu. Data yang bocor berupa email, hash kata kunci, nama jelas, dan nomor telepon.
Informasi ini beredar lewat akun Twitter @underthebreach, layanan pengawasan dan pencegahan kebocoran data asal Israel, Sabtu (2/5/2020) pukul 16.45 WIB. Dalam tangkapan layar yang dibagikan, peretas menyebarkan sampel akun dengan harapan seseorang dapat membantu memecahkan kata sandi, sehingga dapat digunakan untuk mengakses akun pengguna.
VP of Corporate Communications Tokopedia Nuraini Razak memastikan tidak ada kebocoran data pembayaran. “Seluruh transaksi dengan semua metode pembayaran, termasuk informasi kartu debit, kartu kredit dan OVO, tetap terjaga keamanannya,” katanya 3 Mei lalu.
Meski informasi krusial pengguna tetap terlindungi di balik enkripsi, Tokopedia tetap menganjurkan para pengguna untuk mengganti kata kunci akun secara berkala. Ia juga memastikan kalau Tokopedia “selalu berupaya menjaga kerahasiaan data pengguna.”
Beberapa hari setelah Tokopedia, seorang pengguna internet lain mengklaim memiliki pula data hampir 13 juta pengguna situs jual beli online lain, Bukalapak. Sama seperti Tokopedia, akun-akun itu dilengkapi informasi soal nama, email, serta tanggal lahir.
Menurut Komunitas Konsumen Indonesia (KKI), kasus-kasus ini tentu saja merugikan konsumen meski misalnya tidak ada data penting seperti kata sandi yang turut diambil. Data-data pengguna yang bocor, terutama email dan nomor telepon, berpotensi disalahgunakan untuk mengirim pesan penipuan. Pemiliknya juga berpotensi jadi korban scaming, phising, malware, dan spam.
Bagi KKI, pihak yang patut disalahkan selain si pembobol tidak lain e-commerce dan Kementerian Komunikasi dan Informatika (Kemkominfo).
Dalam keterangan pers yang dirilis pada 6 Mei lalu, KKI menganggap penguasa data pribadi (mereka menyebut Tokopedia), “telah melakukan kesalahan karena tidak memiliki sistem elektronik dan laik dan tidak memiliki sistem pengamanan yang patut untuk mencegah kebocoran.” “Hal ini membuktikan bahwa Tokopedia telah melakukan kesalahan dalam melindungi data pribadi dan hak privasi para pemilik akun,” kata David Tobing, Ketua KKI.
David juga mengatakan “Tokopedia tidak pernah memberitahukan pemberitahuan dalam bentuk apa pun terkait rincian data yang telah dicuri.” Ia mengatakan Tokopedia hanya menyampaikan adanya upaya pencurian data dan memastikan beberapa data masih aman, “namun tidak menyampaikan fakta yang sebenarnya bahwa sebagian data telah bocor dan tidak pula memberitahukan rincian data yang telah dikuasai oleh pihak ketiga tanpa persetujuan para pemilik data pribadi dan/atau secara melawan hukum.”
Mereka menyebut Tokopedia melanggar ketentuan Pasal 14 ayat (5) PP No. 71 Tahun 2019 jo. Pasal 2 ayat (2) huruf f dan Pasal 28 huruf c PM Kominfo No. 20 Tahun 2016.
Sementara Kemkominfo yang merujuk Pasal 35 ayat (1) PP No. 71 Tahun 2019 bertugas memantau, mengendalikan, memeriksa, menelusuri, dan mengamankan penyelenggaraan sistem elektronik, menurut KKI, “telah melakukan kesalahan dalam melaksanakan kewenangannnya.”
Atas dasar itu semua, KKI melalui kuasa hukum Akhmad Zaenuddin mengajukan gugatan hukum terhadap keduanya di Pengadilan Negeri Jakarta Pusat, dengan nomor pendaftaran online: PN JKT.PST-0520201XD tertanggal 06 Mei 2020.
Mereka meminta kepada hakim untuk memerintahkan Kemkominfo mencabut Tanda Daftar Penyelenggara Sistem Elektronik ke Tokopedia, juga mendenda mereka sebesar Rp100 miliar. Selain itu, Tokopedia juga diminta meminta maaf kepada para pemilik akun lewat tiga koran harian.
Desakan serupa disampaikan Ketua Badan Perlindungan Konsumen Nasional (BPKN) Ardiansyah.
“Sudah seharusnya dalam kasus ini perlu diberikan sanksi pada penyelenggara, sesuai Pasal 100 Peraturan Pemerintah Nomor 71 Tahun 2019 yaitu sanksi administratif berupa penghentian sementara sebagai alternatif pilihan agar penyelenggara sistem elektronik lebih bertanggung jawab,” kata Ardiansyah dalam siaran pers yang diterima Selasa (5/5/2020).
Sementara Wakil Ketua Komisi I DPR RI Abdul Kharis Almasyari mengatakan Tokopedia harus membenahi “enskripsi data dan keamanannya.”
Menurut analis forensik digital Ruby Alamsyah, Tokopedia dapat menelusuri login-logout history pengguna akun sejak Maret. “Mereka bisa memeriksa server yang menyimpan data,” ucap Ruby kepada reporter Tirto, Rabu (6/5/2020).
Selain itu, Tokopedia juga bisa lapor ke polisi. Ini penting karena pelacakan Tokopedia hanya bisa sampai menemukan IP Address si pembobol karena mereka bukan penegak hukum. Polisi berwenang mencari tahu lebih dari itu. Masalahnya, menurut Ruby, biasanya dalam kasus ini perusahaan enggan melakukannya, misalnya karena alasan citra di mata publik.
“Jika mereka tidak melaporkan, maka tidak dapat mengungkap kasus secara penuh. Itu dilema terkait kasus bisnis finansial,” kata Ruby.
Tokopedia memang belum lapor polisi, namun bukan berarti mereka tidak melakukan apa-apa. Sejauh ini Tokopedia bersama pemerintah, dalam hal ini Kemkominfo dan Badan Siber dan Sandi Negara (BSSN), mengatakan siap menginvestigasi peretasan data pengguna ini.
“Tim Kominfo sudah melakukan koordinasi teknis untuk menindaklanjuti adanya isu pembobolan data pengguna Tokopedia,” kata Menkominfo Johnny G Plate, Senin (4/5/2020) kemarin.
Pentingnya Regulasi Perlindungan Data Pribadi
Menurut Ruby Alamsyah, kasus ini semestinya jadi alasan penguat bahwa RUU Perlindungan Data Pribadi memang penting untuk segera disahkan. RUU Perlindungan Data Pribadi dapat mencontoh General Data Protection Regulation (GDPR) milik Uni Eropa.
“Harus merujuk ke GDPR, tapi menyesuaikan dengan kultur Indonesia,” kata Ruby.
Hal serupa ditegaskan Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar. Kepada reporter Tirto, Rabu (6/5/2020), ia mengatakan kasus ini membuktikan bahwa “Undang-Undang Perlindungan Data Pribadi sangat penting disahkan,” dan “perlu akselerasi dalam pembahasannya.”
RUU ini sebetulnya sudah masuk program legislasi nasional. Ketua DPR RI Puan Maharani mengatakan pada Februari lalu kalau rancangan peraturan segera dibahas, namun sampai sekarang belum terealisasi.
Penulis: Adi Briantika
Editor: Rio Apinino
