Investigasi kebocoran data 91 juta pengguna Tokopedia sedang dilakukan. Namun kronologi
kejadian tersebut telah dianalisis Lembaga Riset Siber Indonesia CISSReC (Communication
& Information System Security Research Center).
"Memang data untuk password masih dienkripsi, namun tinggal menunggu waktu sampai ada
pihak yang bisa membuka. Itulah kenapa pelaku mau melakukan share gratis beberapa juta
akun untuk membuat semacam sandiwara siapa yang berhasil membuka kode acak pada
password," ujar Pratama dalam siaran persnya.
Adapun, pelaku peretasan ini menjual data di situs gelap tersebut yang isinya berupa user ID,
email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone, dan password yang
masih ter-hash atau tersandi.
Data-data privasi pengguna itu dijual dengan harga USD 5.000 atau setara Rp 74 juta.
Bahkan, CISSReC menyebutkan, ada 14.999.896 akun Tokopedia yang datanya saat ini bisa
didownload.
Ditambahkan Pratama, meski password masih dalam bentuk acak, namun data lain sudah
plain alias terbuka. Artinya semua peretas bisa memanfaatkan data tersebut untuk melakukan
penipuan dan pengambilalihan akun-akun di internet.
Misalnya mengirimkan link phising maupun upaya social engineering lainnya, karena itu
seharusnya Tokopedia melakukan update dan informasi kepada seluruh penggunanya segera.
"Bila nantinya password sudah berhasil dibuka oleh pelaku, pastinya salah satu yang akan
dilakukan adalah takeover akun. Lalu pelaku secara random akan mencoba melakukan take
over akun medsos dan marketplace lainnya, karena ada kebiasaan penggunaan password yang
sama untuk semua platform," terang pria asal Cepu Jawa Tengah ini.
Ditambahkan Pratama, saat mendapatkan sampel data dari forum, belum ada data kartu kredit
maupun debet yang disebar pelaku. Harapannya data kartu tidak ikut menjadi salah satu yang
berhasil diretas.
Pertanyaan:
1. Apa yang terjadi pada keamanan jaringan data pada kasus diatas? Apa dampaknya bagi
pelaku e-commerce?
2. Berdasarkan kasus diatas, jelaskan mengenai implementasi Computer security dan Risk
Management yang bisa Anda sarankan!
3. Belajar dari kasus pada artikel di atas, saran apa yang dapat Anda berikan kepada pelaku
e-commerce agar dapat meningkatkan keamanan dalam kegiatan bisnis di internet?
---oOo---
Anggota Kelompok:
Jawaban:
1. Yang terjadi pada keamanan jaringan data pada kasus Tokopedia memiliki pola yang
sama seperti pada saat kebocoran data dari Bukalapak. Kebocoran data pelanggan
Tokopedia berasal dari database real time yang menyimpan seluruh data pelanggan,
bukan database backup seperti kejadian di Bukalapak pada tahun 2017.
Dampaknya dari bocornya data bagi pelaku e-commerce akan sangat merugikan
pengguna e-commerce tersebut. Karena selain akun tersebut berisikan nama dan kata
sandi, data seperti nomor telepon dan email akan dapat disalahgunakan oleh penjahat
siber untuk mengirim pesan penipuan atau tidak penipuan lainnya, karena umumnya
kebanyakan penguna menggunakan password yang sama untuk e-mail dan akun-akun
lainnya. Dampak bocornya data ini juga dapat berpotensi membuat pemilik asli dari
akun yang bocor tersebut berpotensi menjadi korban scaming, phising, malware dan
bahkan spam.
Menurut kami, perlindungan data pribadi pengguna merupakan hal yang juga perlu
diperhatikan oleh para penyedia system dan transaksi elektronik (PSTE). Dikarenakan
hingga sekarang belum ada undang-undang yang mengamankan dengan maksimal
data pengguna yang berhasil dimiliki oleh pemilik e-commerce, maka kebocoran data
ini tidak dijadikan pelajaran dan perhatian oleh pemilik e-commerce lainnya akan
pentingnya data privasi pengguna.
2. Keamanan komputer adalah suatu cabang teknologi yang dikenal dengan nama
keamanan informasi yang diterapkan pada komputer. Sasaran keamanan komputer
antara lain adalah sebagai perlindungan informasi terhadap pencurian atau korupsi,
atau pemeliharaan ketersediaan, seperti dijabarkan dalam kebijakan keamanan.
Sistem keamanan komputer merupakan sebuah upaya yang dilakukan untuk mengamankan
kinerja dan proses komputer. Penerapan computer security dalam kehidupan sehari-hari
berguna sebagai penjaga sumber daya sistem agar tidak digunakan, modifikasi, interupsi, dan
Pendekatan yang umum dilakukan untuk meningkatkan keamanan komputer antara lain
adalah dengan membatasi akses fisik terhadap komputer, menerapkan mekanisme pada
perangkat keras dan sistem operasi untuk keamanan komputer, serta membuat strategi
pemrograman untuk menghasilkan program komputer yang dapat diandalkan.
Sasaran dari pelaksanaan manajemen risiko adalah untuk mengurangi risiko yang berbeda-
beda yang berkaitan dengan bidang yang telah dipilih pada tingkat yang dapat diterima oleh
masyarakat. Hal ini dapat berupa berbagai jenis ancaman yang disebabkan oleh lingkungan,
teknologi, manusia, organisasi dan politik. Di sisi lain pelaksanaan manajemen risiko
melibatkan segala cara yang tersedia bagi manusia, khususnya, bagi entitas manajemen risiko
(manusia, staff, dan organisasi).
Selain itu, layanan cloud harus disertai sistem keamanan yang sama dengan jaringan
fintech atau bank itu sendiri. Cloud harus diamankan secara berbeda dari jaringan
tradisional atau pusat data dan solusi titik yang berbeda sering memperkuat
pergerakan data sambil mengurangi visibilitas di seluruh lingkungan terdistribusi ini.
Akibatnya, jika data keuangan akan disimpan di cloud, bank dan perusahaan
fintech harus memastikan bahwa standar keamanan yang sama yang diterapkan ke
jaringan mereka sendiri diterapkan di cloud.
Selain pendeteksian dan pencegahan, keamanan ini juga harus dapat diadaptasikan
secara dinamis dan skalabel untuk memastikan bahwa dapat tumbuh dengan mulus
bersama penggunaan cloud. Selain itu, untuk mengamankan data keuangan,
perusahaan perlu menerapkan segmentasi internal, bersama dengan penyelenggara
keamanan akses cloud, untuk meningkatkan visibilitas data sambil mengintegrasikan
standar keamanan industri.
Tidak kalah pentingnya pelaku e-commerce, harus mengikuti lima langkah saat
membuat kebijakan keamanan, meliputi:
1. Tentukan aset mana yang harus dilindungi dari ancaman apa. Sebagai
contoh, sebuah perusahaan yang menyimpan nomor kartu kredit pelanggan mungkin
memutuskan bahwa angka adalah aset yang harus dilindungi.
2. Menentukan siapa yang harus memiliki akses ke berbagai bagian sistem
atau spesifik informasi aset. Dalam banyak kasus, beberapa pengguna yang
memerlukan akses beberapa bagian dari sistem (seperti pemasok, pelanggan, dan
mitra strategis) berada di luar organisasi.
3. Identifikasi sumber daya yang tersedia atau dibutuhkan untuk melindungi
aset informasi sambil memastikan akses mereka yang membutuhkannya.
Dari sisi teknis operasional, DRaaS dapat berguna sebagai infrastruktur cadangan saat
sistem utama mengalami downtime. Pertimbangannya adalah, biaya downtime per
satu jam dapat menutupi biaya DRaaS untuk 10 tahun. Pemerintah Indonesia telah
mengeluarkan peraturan seputar wajibnya menggunakan DRaaS bagi para pelaku
bisnis di sektor keuangan. Baik dari Kominfo, Bank Indonesia dan Otoritas Jasa
Keuangan, telah menerapkan peraturan tersebut. Pelanggaran terhadap peraturan
tersebut dapat berdampak pada bisnis Fintech, baik di suspensi oleh OJK hingga pada
kesulitan izin.
Selain peraturan pemerintah, Fintech harus mengikuti standar yang ditetapkan oleh
organisasi lainnya seperti PCI DSS. Sebuah standar transaksi keuangan telah di
rumuskan oleh para ahli, dan mereka tetap terus update terhadap perkembangan.
Oleh karena itu, penyedia jasa DRaaS juga harus memenuhi persyaratan yang di
tetapkan oleh PCI DSS dan juga ISO 27001, karena keamanan dan kerahasiaan
data transaksi dan pelanggan fintech sangatlah penting. Dengan demikian
Fasilitas pencadangan yang dimaksud oleh para pembuat peraturan tersebut adalah
pencadangan yang memenuhi syarat ketersediaan (uptime 99.999%), memenuhi
standar keamanan infrastruktur dan memenuhi standar keamanan transaksi
Sementara itu salah satu fungsi penting dari situs perdagangan elektronik adalah
penanganan pembayaran melalui Internet. Sebagian besar perdagangan elektronik
melibatkan pertukaran beberapa bentuk uang untuk barang atau layanan. Sistem
pembayaran online untuk perdagangan elektronik bagi konsumen masih terus
berkembang. Pembayaran elektronik dapat membuat nyaman bagi pelanggan dan
dapat menghemat pengeluaran perusahaan.
Berdasarkan pengalaman dari kelompok kami, alternatif pembayaran di internet yang
aman antara lain :
a.Credit Card (Kartu Kredit), seperti Visa atau MasterCard. Kartu kredit
diterima secara luas oleh pedagang di seluruh dunia dan memberikan jaminan
bagi konsumen dan pedagang. Secara keamanan transaksi e-commerce, pengguna
kartu kredit sebelum melaksanakan transaksi diminta verifikasi untuk mengisikan
CVV (Card Verification Code) atau CVC (Card Verification Code) yaitu 3 digit
angka terakhir yang terdapat pada bagian belakang kartu kredit. Biasanya terdapat di
tempat tanda tangan di belakang kartu kredit. Pada perkembangan saat ini,
beberapa bank menggunakan OTP (One Time Password) yang dikirimkan melalui
email atau nomor handphone yang telah terdaftar sebelumnya berdasarkan
persetujuan pengguna. OTP melengkapi PIN / Username dan Password sebagai
keamanan tambahan berlapis.
b.Debit Card (Kartu debit) terlihat seperti kartu kredit, tetapi kerjanya
sangat berbeda.
Kartu debit akan mendebit saldo dari rekening bank pemegang kartu dan
transfer ke rekening bank penjual berdasarkan jumlah penjualan. Secara
keamanan, Kartu Debit menggunakan PIN sebelum bertransaksi. Keamanan fisik
kartu kredit maupun kartu debit saat ini dipersyaratkan oleh OJK menggunakan
teknologi chip dan bukan menggunakan magnetic stripe card.
c.Uang elektronik (juga disebut e-cash atau digital cash) adalah
menjelaskan setiap penyimpanan nilai dan sistem pertukaran yang dibuat oleh
entitas swasta yang tidak menggunakan dokumen kertas atau koin dan yang
dapat berfungsi sebagai pengganti mata uang fisik yang dikeluarkan pemerintah.
Bisa dalam bentuk kartu yang dilengkapi dengan chip RFID pasif yang tidak memiliki
sumber daya sendiri dan baru akan aktif ketika ditempelkan (tapping) atau didekatkan
ke alat pembaca (RFID chip reader).
d.Electronic Wallets (Dompet elektronik), melayani fungsi yang serupa
dompet fisik, menyimpan nomor kartu kredit, uang elektronik, identifikasi
pemilik dan informasi kontak pemilik dan menyediakan informasi tersebut di
merchant perdagangan elektronik. Dompet elektronik memberi konsumen keuntungan
memasuki informasi dompet mereka hanya sekali, daripada harus memasukkan
informasi mereka di setiap situs. Dompet elektronik membuat belanja lebih efisien.
Ketika konsumen memilih barang, membeli, mereka kemudian dapat mengklik
dompet elektronik untuk memesan barang dengan cepat. Perkembangan di masa
depan, dompet elektronik dapat melayani pemiliknya dengan melacak pembelian
dan memeroleh tanda terima pembelian tersebut. Sebagai contoh yang