Pelaku
menjual data di darkweb berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin,
nomor handphone dan password yang masih ter-hash atau tersandi.
Semua dijual dengan harga US$5.000 atau sekitar Rp74 juta. Bahkan ada 14.999.896 akun
Tokopedia yang datanya saat ini bisa didownload.
KRONOLOGI
Kronologi kebocoran data pribadi Tokopedia dimulai dari sebuah publikasi
sekumpulan data oleh akun yang beratas nama Whysodank. Pada tanggal 2 Mei
2020, Akun Whysodank memposting mengenai kumpulan data pribadi yang
ternyata adalah data pribadi dari pengguna Tokopedia di sebuah forum internet
yang bernama Raid Forums. Raid Forums adalah wadah diskusi untuk orang yang
gemar melakukan aktivitas pembobolan di dunia maya atau raid.Situs ini juga
merupakan tempat berbagi dokumen dan database, seperti yang pada data
pengguna Tokopedia. Pada hari yang sama, sebuah akun twitter
@underthebreach yang mengklaim sebagi layanan pengawasan dan pencegahan
kebocoran data asal Isreal membuat ciutan tentang peretasan akun Tokopedia di
Twitter. Dalam ciutan tersebut akun @underthebreach mengatakan bahwa ada
sekitar data pribadi 15 juta akun yang diretas. Data pribadi tersebut terdiri dari user.
ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone dan
password yang masih ter-hash atau tersandi. Pada malam harinya pukul 21.00
WIB, VP of Corporate Communications Tokopedia mengakui adanya upaya
pencurian terhadap data pengguna. Namun, mereka memastikan bahwa informasi
penting seperti password tetap terlindungi.
Pada tanggal 3 Mei 2020, ditemukan kembali bahwa akun Whysodank menjual
data pribadi pengguna Tokopedia yang ternyata berjumlah juta 91 akun di sebuah
forum darkweb yang bernama Empire Market. Pada forum tersebut, Whysodank
menggunakan akun dengan atas nama ShinyHunters. Situs Hackread.com
kemudian mengungkapkan akun-akun tersebut dijual dengan harga $5000 atau 74
juta rupiah.147 Selanjutnya, Tokopedia kemudian mengklaim dan memeriksa
bahwa data pembayaran pengguna seperti kartu debit, credit card dan OVO masih
terjaga keamanannya dan menyatakan keamanan data pribadi sebagai prioritas
utama.
kasus-kasus ini tentu saja merugikan konsumen meski misalnya tidak ada data penting seperti
kata sandi yang turut diambil. Data-data pengguna yang bocor, terutama email dan nomor
telepon, berpotensi disalahgunakan untuk mengirim pesan penipuan. Pemiliknya juga
berpotensi jadi korban scaming, phising, malware, dan spam.
Bagi KKI, pihak yang patut disalahkan selain si pembobol tidak lain e-commerce dan
Kementerian Komunikasi dan Informatika (Kemkominfo).
Dalam keterangan pers yang dirilis pada 6 Mei lalu, KKI menganggap Tokopedia telah
melakukan kesalahan karena tidak memiliki sistem elektronik yang baik dan tidak memiliki
sistem pengamanan yang patut untuk mencegah kebocoran. Hal ini membuktikan bahwa
Tokopedia telah melakukan kesalahan dalam melindungi data pribadi dan hak privasi para
pemilik akun.
Ketua KKI David juga mengatakan “Tokopedia tidak pernah memberitahukan pemberitahuan
dalam bentuk apa pun terkait rincian data yang telah dicuri.Tokopedia hanya menyampaikan
adanya upaya pencurian data dan memastikan beberapa data masih aman, namun tidak
menyampaikan fakta yang sebenarnya bahwa sebagian data telah bocor dan tidak pula
memberitahukan rincian data yang telah dikuasai oleh pihak ketiga tanpa persetujuan para
pemilik data pribadi dan/atau secara melawan hukum.”
Mereka menyebut Tokopedia melanggar ketentuan Pasal 14 ayat (5) PP No. 71 Tahun 2019
jo. Pasal 2 ayat (2) huruf f dan Pasal 28 huruf c PM Kominfo No. 20 Tahun 2016. Sementara
Kemkominfo yang merujuk Pasal 35 ayat (1) PP No. 71 Tahun 2019 bertugas memantau,
mengendalikan, memeriksa, menelusuri, dan mengamankan penyelenggaraan sistem
elektronik, menurut KKI, “telah melakukan kesalahan dalam melaksanakan
kewenangannnya.” Atas dasar itu semua, KKI melalui kuasa hukum Akhmad Zaenuddin
mengajukan gugatan hukum terhadap keduanya di Pengadilan Negeri Jakarta Pusat, dengan
nomor pendaftaran online: PN JKT.PST-0520201XD tertanggal 06 Mei 2020.
Mereka meminta kepada hakim untuk memerintahkan Kemkominfo mencabut Tanda Daftar
Penyelenggara Sistem Elektronik ke Tokopedia, juga mendenda mereka sebesar Rp100
miliar. Selain itu, Tokopedia juga diminta meminta maaf kepada para pemilik akun lewat tiga
koran harian.
PENDAHULUAN :
Tujuan Penelitian
Berdasarkan rumusan masalah diatas, maka tujuan penelitian adalah:
1. Untuk mengetahui hubungan hukum yang terjadi dalam kasus kebocoran data
pribadi Tokopedia.
2. Untuk mengetahui tanggung jawab PT Tokopedia dalam kasus kebocoran data
pribadi pengguna.
Tanggung Jawab PT Tokopedia dalam Kasus Kebocoran Data Pribadi
Pengguna
1) Unsur perbuatan. Perbuatan yang terjadi adalah kelalaian dari PT Tokopedia dalam
menjaga keamanan dan kerahasiaan data pribadi pengguna.
2)Unsur perbuatan yang melawan hukum.Terjadinya kebocoran data pribadi
merupakan pelanggaran terhadap kewajiban Tokopedia dalam prinsip-prinsip
perlindungan data pribadi, terutama dalam hal menjaga keamanan dan kerahasiaan
pemilik data sebagaimana yang diatur dalam:
c) Pasal 14 ayat (1) huruf e. PP PSTE 2019, bahwa PSE wajib untuk
melindungi keamanan data pribadi dari kehilangan, penyalahgunaan,
akses, dan pengungkapan yang tidak sah, serta pengubahan atau
perusakan data pribadi; dan
d) Pasal 26 Permenkominfo 20/2016 tentang Hak Pemilik Data Pribadi,
yang mana salah satunya adalah hak pemilik data atas kerahasiaan data
pribadinya.
Unsur kesalahan
Unsur kesalahan yang terjadi dapat berupa kelalaian. PMH yang
didasarkan pada kelalaian didasarkan pada Pasal 1366 KUHPerdata. Suatu
perbuatan data dianggap sebagai kelalaian aabila memenuhi unsur pokok
sebagai mengabaikan sesuatu yang mestinya
dilakukan;
b) Adanya suatu kewajiban kehati-hatian;
c) Tidak dijalankannya kewajiban kehati-hatian tersebut;
d) Adanya kerugian bagi orang lain;
SARAN
Mengingat pentingnya ha katas privasi dan perlindungan data pribadi di era
teknologi sekarang, saran kedepannya adalah untuk memperkuat regulasi data
pribadi di Indonesia. Pertama, upaya untuk melakukan hal tersebut adalah
dengan meningkatkan penegakan hukum atas perlindungan pribadi. Berkaca
dari kebijakan negara lain seperti Uni Eropa memiliki European Data
Protection Supervisor (EDPS) yang melakukan pengawasan kepastian
perlindungan data pribadi. Pembentukan lembaga independen tersebut dapat
menjadi salah satu saran untuk meningkatkan penegakan hukum dan
pengawasan khususnya pada kewajiban-kewajiban hukum yang dilakukan
oleh Penyelenggara Sistem Elektronik. Kedua, menjadikan regulasi
perlindungan data pribadi secara khusus (konvergensi) yang diatur pada
tingkat Undang-Undang (RUU Perlindungan Data Pribadi) menjadi suatu hal
yang penting. Konvergensi regulasi data pribadi pada tingkat undang-undang
akan memberikan kepastian hukum atas perlindungan hak privasi dan
hubungan hubungan hukum antar pihak yang lebih kuat. Selain itu, RUU
Perlindungan Data Pribadi berfungsi sebagai pedoman dasar bagi pihak manapun yang
berkepentingan (perorangan, organisasi, perusahaan,
pemerintah) dalam pemrosesan data pribadi.
Penetration test harus sesering mungkin dilakukan untuk mengetahui dimana saja letak celah
keamanan. Situs marketplace akan selalu menjadi sasaran para peretas karena banyak
menghimpun data masyarakat, terutama kartu kredit, kartu debit dan dompet digital.
Kejadian ini bukan yang pertama kali di tanah air. Sebelumnya Bukalapak juga mengalami
hal serupa. Seharusnya ini menjadi peringatan keras pada setiap penyedia layanan di internet
yang memakai banyak data masyarakat dalam kegiatannya.
data merupakan privasi penting bagi setiap orang, bagi beberapa perusahaan diperlukan
validasi data untuk beberapa keperluan seperti transaksi, namun dengan adanya kasus seperti
diatas banyak konsumen yang menurun rasa kepercayaan mereka, dengan begitu cara yang
harus diimplementasikan adalah setiap perusahaan wajib untuk meningkatkan sekuritas data
mereka, dan mengganti sandi karyawan wfh dengan menggunakan sandi yang rumit dan
memberikan campaign agar masyarakat tidak perlu khawatir dan memberi edukasi mengenai
pemberian data lewat internet
f.) Peretasan data pribadi merupakan Hal yang salah terlebih apabila merugikan individu,
Oleh Karena tersebut kasus seperti ini Harus dilakukan penyelidikan Yang lebih dalam Dan
diberlakukan sanksi yang setimpal atas perlakuan hacker agar tidak Ada yang dirugikan.
Dengan begitu, masyarakat akan juga merasa aman dengan data yang mereka simpan dalam
internet.