TeknoCerdas.com – Tokopedia diisukan diretas setelah sebuah akun twitter @underthebreach mempublikasikan kebocoran data pengguna toko online terbesar di Indonesia tersebut.
Menurut @underthebreach peretasan terjadi pada Maret 2020. Hacker mengklaim bahwa dia berhasil mendapatkan database Tokopedia yang berisi 15 juta data pengguna. Database tersebut berisi email, password hash, dan nama.
Mengutip dari ZDNet yang juga mendapatkan kiriman database dari @underthebreach mengatakan bahwa file database tersebut berupa PostgreSQL dump. Dimana didalamnya terdapat nama lengkap, email, nomor telepon, password hash, tanggal lahir dan informasi profil yang berhubungan dengan akun Tokopedia (seperti tanggal akun dibuat, login terakhir, kode aktivasi email, kode reset password, detail lokasi, id pengirim pesan, hobi, pendidikan, tentang saya dan banyak lagi).
Masih menurut ZDNet mereka telah memeriksa keaslian database yang bocor tersebut dengan website official Tokopedia. Sehingga kemungkinan besar bahwa memang benar Tokopedia diretas.
Apakah hacker berhasil mendapatkan password?
Password yang ada pada database belum berhasil di-crack oleh hacker. Password tersebut diamakan dengan algoritma hash SHA2-384 yang boleh dibilang cukup aman namun tidak mustahil untuk dipecahkan seperti penulis kutip dari ZDNet.
Hacker tersebut juga mengklaim jika password yang ada pada database tidak memiliki salt (pelengkap) berupa string acak yang harusnya digunakan untuk menambahkan tingkat keamanan pada fungsi hash SHA2-384.
Dengan tidak adanya salt maka database Tokopedia rentan dengan Rainbow table attack. Dimana hash akan dicoba dicocokkan dengan daftar kata atau password yang sudah umum. Hanya masalah waktu saja untuk password agar dapat terpecahkan jika tidak ada salt. Apalagi dengan komputasi mesin yang sangat besar yang sekarang umum ditemukan di cloud computing.
Bagaimana respon resmi Tokopedia mengenai hal ini?
Dikutip dari Kumparan, Tokopedia menyatakan pihaknya menemukan adanya upaya pencurian data pengguna. Namun, perusahaan memastikan, informasi penting pengguna, seperti password, tetap berhasil dilindungi. Tokopedia juga masih melakukan investigasi atas laporan yang didapat.
Menurut analisa penulis itu pernyataan yang ambigu. Kata “upaya” pencurian dapat diartikan data belum bocor atau terambil pihak luar. Sedangkan kata “tetap berhasil dilindungi” menunjukkan bahwa data telah bocor namun password masih dalam bentuk hash.
Apakah Anda pengguna Tokopedia? Segera ganti password jika memang demikian.
