Bukalapak diserang peretas, pengguna diimbau ganti password

Sumber gambar, Aytac Unal/Anadolu Agency/Getty Images

Situs jual-beli online, Bukalapak mengakui telah mendapat serangan dari peretas, namun mereka mengklaim data penting para pengguna tidak disalahgunakan.

Pernyataan ini mengkonfirmasi berita dari The Hacker News tentang penjualan 890 juta akun dari 32 website populer dari pelbagai negara melalui dark web.

"Bukalapak mengkonfirmasi bahwa memang ada upaya untuk meretas Bukalapak beberapa waktu yang lalu, namun tidak ada data penting seperti user password, finansial atau informasi pribadi lainnya yang berhasil didapatkan," kata Head of Corporate Communications Bukalapak, Intan Wibisono dalam keterangan tertulisnya kepada BBC News Indonesia, Senin (18/03).

Selain Bukalapak, perusahaan perintis Indonesia lainnya yang terkena serangan peretas ialah layanan konsultasi pendidikan dan karier Youthmanual.

Juru bicara Kementerian Komunikasi dan Informatika mengatakan pihaknya tengah meminta penjelasan dari Bukalapak dan Youthmanual terkait pencurian data pribadi ini.

Namun, kalaupun nanti ditemukan kelalaian, sanksi paling tinggi yang bisa diterapkan hanyalah teguran, lantaran belum ada aturan tentang perlindungan data pribadi.

Sumber gambar, Bukalapak

Seberapa parah dampaknya?

The Hacker News memberitakan data dari Bukalapak yang dijual peretas di situs dark web Dream Market mencapai 13 juta akun. Namun Bukalapak belum mengonfirmasi jumlah tersebut.

Dark web atau web gelap adalah sebutan untuk bagian dari dunia maya yang tidak terindeks di mesin pencari seperti Google, dan untuk mengaksesnya diperlukan program atau otorisasi khusus.

Sementara itu, pengamat IT, Ruby Alamsyah mengatakan jutaan akun Bukalapak yang dijual di Dream Market merupakan data lama, dari tahun 2017.

Jadi kemungkinan sebagian akun telah berganti password, katanya.

Ruby menambahkan, pencurian saldo baru bisa dilakukan jika pemilik akun sejak 2017 belum pernah mengganti password.

"Tapi misalnya, kalau ada 10 persen saja yang belum ganti password itu 1,3 juta akun, lalu uang tunainya diambil. Ini dampaknya bisa signifikan," katanya kepada Muhammad Irham untuk BBC News Indonesia.

Langkah yang perlu dilakukan menurut Ruby adalah segera mendeteksi akun-akun yang telah dicuri. Setelah itu, Bukalapak segera memberitahukan langsung ke pemilik akun untuk segera mengganti password.

Apa yang dilakukan Bukalapak?

Dalam keterangan tertulisnya, Intan Wibisono dari Bukalapak memastikan bahwa data-data penting pengguna tidak disalahgunakan.

"Upaya peretasan seperti ini memang sangat berpotensi terjadi di industri digital," katanya.

Bukalapak meminta para penggunanya untuk mengganti kata sandi (password) secara berkala dan mengaktifkan fitur Two-Factor Authentication (TFA). Fitur ini diperuntukan mencegah penggunaan atau penyalahgunaan data penting dari perangkat lain yang tidak dikenali.

"Kami juga menyarankan menjaga kerahasiaan password anda dan menggunakan security guide yang sudah disediakan Bukalapak," tambah Intan.

Bukalapak merupakan salah satu situs jual-beli daring terbesar di Indonesia, dengan jumlah pengguna mencapai 50 juta. Volume transaksinya mencapai Rp4 triliun per bulan.

Sumber gambar, Jaap Arriens/NurPhoto via Getty Images

Selain Bukulapak, situs apa lagi yang diretas?

Selain Bukalapak, situs yang juga diretas adalah situs pendidikan dan karir Youthmanual.com. Hal itu diakui oleh CEO Youthmanual, Rizky Muhammad.

"Kami konfirmasi bahwa telah terjadi upaya peretasan namun Youthmanual melakukan upaya pencegahan dengan mereset password seluruh pengguna.

"Kami juga telah mengimbau seluruh pengguna untuk mengubah seluruh informasi password saat login kembali," katanya dalam keterangan tertulis kepada BBC News Indonesia, Senin (18/03).

Rizky menambahkan bahwa Youthmanual telah melakukan audit dan evaluasi "secara komprehensif" pada sistem keamanan mereka.

Sumber gambar, Jaap Arriens/NurPhoto via Getty Images

Apa yang dilakukan pihak berwenang?

Kementerian Komunikasi dan Informatika (Kominfo) memantau percakapan mengenai isu pencurian akun yang dijual melalui dark web ini.

Kepala Biro Humas Kominfo, Ferdinandus Setu mengatakan Menteri Kominfo sedang meminta penjelasan dari Bukalapak dan Youthmanual terkait pencurian data pribadi ini.

"Pak Menteri Rudiantara sudah berkoordinasi dengan Bukalapak, untuk minta penjelasan kenapa sampai data-data pribadi para users bisa sampai diretas," katanya saat dihubungi, Senin (18/03).

Semestinya data pribadi yang dikelola oleh penyelenggara sistem elektronik dilindungi dan dijaga secara optimal dari peretasan, katanya.

Sumber gambar, Miguel Candela/SOPA Images/LightRocket via Getty I

Meski demikian, belum ada sanksi untuk penyelenggara sistem elektronik terkait dugaan data pribadi pengguna yang dilaporkan telah diretas.

"Kalau pun nanti ditemukan kelalaian, paling tinggi sanksinya adalah teguran, karena belum ada aturan yang mengatur secara rinci mengenai perlindungan data pribadi," kata Ferdinandus.

"Nanti untuk sanksi pidana sedang kami godok, dan akan kita tuangkan dalam RUU Perlindungan data pribadi. Saat ini sedang harmonisasi di Kemenkum HAM, kami rencana akan kirim ke DPR untuk dibahas usai Pilpres ini," kata Ferdinandus.

Apa dampak pencurian akun bagi publik?

Kejadian pencurian akun ini bisa berdampak terhadap rasa percaya publik terhadap perlindungan data pribadi. Akibatnya, pertumbuhan ekonomi digital akan terganggu, kata Ferdinandus.

"Pertumbuhan ekonomi hari ini juga, sumbangan besarnya dari digital ekonomi. Ini penting," tambahnya

Sebelumnya, The Hacker News memberitakan seorang peretas dengan alias Gnosticplayers telah mencuri 890 juta akun pengguna dari 32 website top dunia. Akun yang dicuri ini rinci, dan dijual melalui web gelap.

Sumber gambar, Jaap Arriens/NurPhoto via Getty Images

Bulan kemarin Gnosticplayers telah menjual akun pengguna secara bertahap melalui Dream Market. Tahap pertama 620 juta akun diambil dari 16 website, 127 juta akun dari 8 website di tahap kedua, dan tahap ketiga 92 juta akun dari 8 website.

Meskipun telah menjualnya dalam tiga tahapan, peretas juga melepas tahap keempat sedikitnya 27 juta rekaman pengguna dari 6 website lainnya di antaranya:

1.Youthmanual - Platform perkuliahan dan karir di Indonesia (1,12 juta akun)

2.GameSalad - Platform belajar online (1,5 juta akun)

3.Bukalapak - Platform belanja online di Indonesia (13 juta akun)

4.Lifebear - Platform Jual-beli Notebook online di Jepang (3,86 juta akun)