Baca Artikel Lainnya
Hacker atau peretas beraksi untuk membobol sejumlah akun pengguna. Disebutkan dalam aksi terbaru, peretas mencuri sekira 26 juta akun pengguna dari beberapa website. Dilansir Thehackernews, Senin (18/3/2019), hacker Pakistani, yang dikenal di dunia maya dengan nama Gnosticplayers mengatakan kepada The Hacker News dalam sebuah email. Disebutkan ada beberapa situs yang diretas seperti Youthmanual, GameSalad, Bukalapak, Lifebear, EstanteVirtual dan Coubic.
Dari 6 situs tersebut, kabarnya akun pengguna dijual ke website gelap (dark web). Khusus Youthmanual, situs ini terkait dengan perguruan tinggi dan platform karir Indonesia yang kabarnya menjadi korban atas ulah hacker yang membobol 1,12 juta akun. Sementara Bukalapak, situs belanja online dengan 13 juta akun.
Peretas ini menjual masing-masing basis data peretasan yang terdaftar tersebut secara individual di Dream Market dengan total nilai 1,2431 Bitcoin atau sekira USD5.000.
Sekadar informasi, Gnosticplayers merupakan nama hacker yang sebelumnya mengklaim telah meretas puluhan situs web populer dari perusahaan. Gnosticplayers menyatakan bahwa putaran ketiga adalah yang terakhir, namun nyatanya mereka merilis putaran keempat.
Sebelumnya, hacker telah menjual detail dari 890 juta akun online yang dicuri dari 32 website populer. Ratusan juta akun online itu dicuri dari tiga putaran aksi hacker yang terpisah.
Disebutkan pula hacker bulan lalu membuat tiga putaran dari akun yang dicuri untuk dijual di website gelap populer, Dream Market. Konon ada 620 juta akun yang dicuri dari 16 website dalam putaran pertama, 127 juta yang terekam dari 8 situs untuk putaran kedua, dan 92 juta dari 8 website di putaran ketiga.
CEO Bukalapak, Achmad Zaky dalam keterangan resmi yang diterima Okezone, Senin (18/3/2019) mengungkapkan jika Bukalapak pun mengakui adanya upaya peretasan Bukalapak beberapa waktu lalu.
"Namun tidak ada data penting seperti user password, finansial atau informasi pribadi lainnya yang berhasil didapatkan," kata Zaky.
Dia juga mengakui jika pihaknya selalu meningkatkan sistem keamanan di Bukalapak. Hal ini, lanjut dia untuk memastikan keamanan dan kenyamanan para pengguna Bukalapak, dan memastikan data-data penting pengguna tidak disalahgunakan.
"Upaya peretasan seperti ini memang sangat berpotensi terjadi di industri digital. Kami selalu mengimbau para pengguna Bukalapak untuk lebih memperhatikan keamanan bertransaksi," jelas dia.
Pengamat menilai penerapan two factor authentification (TFA) cukup untuk mengamankan proses masuk akun (login) pada situs e-commerce jika terjadi pembobolan. TFA ini perlu diminta ketika pengguna masuk ke akun mereka. Hal ini diungkap terkait kasus peretasan akun pengguna Bukalapak yang diaku oleh hacker yang menggunakan nama Gnosticplayers.
Peretas mengaku telah mencuri data 13 juta pengguna Bukalapak dan menjualnya di darkweb. Darkweb adalah jejaring internet tersembunyi yang membutuhkan serangkaian cara khusus untuk masuk ke dalamnya. Bukalapak sendiri menyangkal jika akun pengguna mereka telah dicuri.
"Saran saja untuk e-commerce, untuk mencegah dampak negatif kalau kena retas database-nya, wajibkan TFA," jelas Alfons Tanujaya, pengamat kemanan siber dari Vaksin.com.
Menurut Alfons, TFA jangan diberikan sebagai fitur pilihan tapi sebagai keharusan. Sehingga, meskipun kredensial dicuri, peretas kesulitan untuk login karena mesti memasukkan kode TFA yang dikirim ke email atau ponsel pengguna.
"TFA itu kan pakai one time password (OTP), sehingga mustahil bagi peretas sekalipun sudah mendapatkan akun untuk masuk karena akan ditanya OTP-nya," tuturnya lagi.
Ini bukan kali pertama Gnosticplayers melakukan peretasan. Pembobolan kali ini adalah usaha peretasan keempatnya dan berhasil mencuri 26,3 juta akun.
Selain Bukalapak, lima situs lain yang berhasil dibobol antara lain Youthmanual 1,12 juta akun, GameSalad dengan 1,5 juta akun , Lifebar dengan 3,86 juta akun, EstanteVirtual dengan 5,45 juta akun, dan Coubic dengan 1,5 juta akun. Youthmanual sendiri adalah platform asal Indonesia lain mengenai kuliah dan karir. (eks/eks)
Bukalapak merupakan salah satu situs jual-beli online terbesar di Indonesia, dengan jumlah pengguna mencapai 50 juta. Volume transaksinya mencapai Rp4 triliun per bulan.
Lebih lanjut Intan mengatakan pihaknya selalu meningkatkan sistem keamanan di Bukalapak demi memastikan keamanan dan kenyamanan para pengguna Bukalapak.
Apa yang harus dilakukan pengguna?
Dalam keterangan tertulisnya, dia juga memastikan bahwa data-data penting pengguna tidak disalahgunakan.
"Upaya peretasan seperti ini memang sangat berpotensi terjadi di industri digital," katanya.
Bukalapak juga meminta para penggunanya untuk mengganti kata sandi (password) secara berkala dan mengaktifkan fitur Two-Factor Authentication (TFA). Fitur ini diperuntukan mencegah penggunaan atau penyalahgunaan data penting dari perangkat lain yang tidak dikenali.
"Kami juga menyarankan menjaga kerahasiaan password anda dan menggunakan security guide yang sudah disediakan Bukalapak," tambah Intan.
Mengapa harus rajin ganti password secara berkala?
Sementara itu, pengamat IT, Ruby Alamsyah mengatakan jutaan akun Bukalapak yang dijual di Dream Market merupakan data lama, yaitu 2017.
Jadi, kemungkinan sebagian akun telah berganti password, katanya.
Ruby menambakan, pencurian saldo baru bisa dilakukan jika pemilik akun sejak 2017 belum pernah mengganti password.
"Tapi misalnya, kalau ada 10 persen saja yang belum ganti password itu 1,3 juta akun, lalu uang tunainya diambil. Ini dampaknya bisa signifikan," katanya kepada Muhammad Irham untuk BBC News Indonesia.
Langkah yang perlu dilakukan menurut Ruby adalah segera mendeteksi akun-akun yang telah dicuri. Setelah itu, Bukalapak segera memberitahukan langsung ke pemilik akun untuk segera mengganti password.
Hacker yang menyebut dirinya sebagai Gnosticaplayers menjual jutaan data akun situs populer hasil curiannya di dark web. Salah satunya ada nama Bukalapak walau sudah dibantah oleh startup unicorn Indonesia itu. Bagaimana pengakuan sang hacker?
Hacker ini punya rekam jejak menjual data pengguna berbagai perusahaan yang diretasnya. Kali ini, dia menjual data dari 6 perusahaan dengan total 26,42 juta data user. Untuk itu, dia meminta bayaran bitcoin senilai USD 4.940.
Adapun perusahaan yang diklaim berhasil ia retas meliputi Youthmanual, GameSalad, Bukalapak, Lifebear, EstanteVirtual dan Coubic. Dalam wawancara dengan media teknologi ZDNet, si hacker menyatakan perusahaan yang dibobolnya gagal melindungi password dengan algoritma penyandian kuat.
"Aku merasa kecewa karena kurasa tak seorangpun belajar. Aku hanya merasa kecewa di saat sekarang ini, karena kurangnya keamanan di 2019 membuatku marah," tulisnya.
Zdnet menyatakan aksi sang hacker meretas sebagian besar data tersebut dilakukan bulan lalu, yaitu pada Februari 2019. Sang hacker kemudian mengklaim tidak semua data yang didapatnya dijual karena ada perusahaan yang kena mau membayar dia.
"Aku mencapai kesepakatan dengan beberapa perusahaan, startup yang cemas itu tidak akan melihat datanya dijual," tulisnya lagi.
Ketika dikonfirmasi, Bukalapak mengakui ada upaya peretasan tapi sang hacker tak mendapat apa-apa. "Kami mengkonfirmasi bahwa memang ada upaya untuk meretas Bukalapak beberapa waktu yang lalu, namun tidak ada data penting seperti user password, finansial atau informasi pribadi lainnya yang berhasil didapatkan," sebut Bukalapak.
"Kami selalu meningkatkan sistem keamanan di Bukalapak, demi memastikan keamanan dan kenyamanan para pengguna Bukalapak, dan memastikan data-data penting pengguna tidak disalahgunakan. Upaya peretasan seperti ini memang sangat berpotensi terjadi di industri digital," tambah mereka.
"Kami selalu menghimbau para pengguna Bukalapak untuk lebih memperhatikan keamanan bertransaksi. Ganti password anda secara berkala serta aktifkan Two-Factor Authentication (TFA) yaitu fitur yang diperuntukan mencegah jika ada penggunaan atau penyalahgunaan data penting dari device yang tidak dikenali," pungkas Bukalapak.
references by okezone, cnnindonesia, bbc