CekFakta #60 Menggugat Kebocoran Data Tokopedia

Reporter:
Editor:

Philipus Parera

  • Font:
  • Ukuran Font: - +
  • Ilustrasi Tokopedia. ANTARA FOTO/Puspa Perwitasari

    Ilustrasi Tokopedia. ANTARA FOTO/Puspa Perwitasari

    • Pada 2 Mei 2020, warganet dihebohkan oleh beredarnya informasi bahwa 91 juta akun pengguna Tokopedia telah diretas dan dijual di dark web. Tiga hari kemudian, Tokopedia digugat ke pengadilan dengan alasan platform belanja daring ini lalai melindungi data penggunanya. Seberapa bahaya peretasan ini dan sejauh mana Tokopedia bisa digugat?
    • Banyak negara menciptakan alat pelacak kontak sejak pandemi Covid-19 melanda akhir tahun lalu. Tujuannya jelas, membantu pemerintah melacak penyebaran virus Corona baru penyebab penyakit tersebut. Negara apa saja yang telah memiliki alat itu dan bagaimana alat tersebut dikembangkan agar tidak melanggar privasi warganya?

    Halo pembaca Nawala CekFakta Tempo! Akhir pekan lalu, kita dikagetkan dengan sebuah thread di Twitter tentang peretasan jutaan akun Tokopedia. Warganet pun beramai-ramai menghampiri akun media sosial milik Tokopedia atau menghubungi customer service platform belanja daring itu untuk bertanya apakah akunnya aman. Peretasan juga mengkhawatirkan banyak orang menggantungkan hidupnya dengan berdagang di platform tersebut. Satu kelompok masyarakat lantas menggugat ke pengadilan, meminta Tokopedia didenda hingga Rp 100 miliar.

    Apakah Anda menerima nawala edisi 8 Mei 2020 ini dari teman dan bukan dari email Tempo? Daftarkan surel di sini untuk berlangganan.

    Nawala edisi ini ditulis oleh Angelina Anjar Sawitri dari Tempo Media Lab.

    MENGGUGAT KEBOCORAN DATA TOKOPEDIA   

    Selang empat hari setelah munculnya pemberitaan soal peretasan 91 juta data pengguna Tokopedia, platform belanja daring ini mesti menghadapi gugatan di pengadilan. Gugatan hukum itu dilayangkan ke Pengadilan Negeri Jakarta Pusat pada 6 Mei 2020 oleh Komunitas Konsumen Indonesia (KKI). Dalam gugatannya, komunitas ini meminta hakim memerintahkan Kementerian Komunikasi dan Informatika untuk menjatuhkan denda kepada Tokopedia. Tak tanggung-tanggung, denda yang diminta KKI mencapai Rp 100 miliar.

    KKI beranggapan Tokopedia selaku penyelenggara sistem elektronik (PSE) telah melakukan kesalahan dalam menyimpan dan melindungi kerahasiaan data pribadi para penggunanya, sehingga dapat dicuri dan diperjualbelikan di internet. Tokopedia juga dinilai telah bersalah karena tidak memiliki sistem elektronik yang baik serta sistem keamanan yang patut untuk mencegah kebocoran data pengguna.

    Sebelumnya, sebuah akun bernama Whysodank membagikan unggahan di Raid Forums—forum komunitas hacker di internet—yang berisi penawaran data Tokopedia pada 1 Mei 2020. Menurut dia, data itu diretasnya pada Maret 2020. Dia pun menyatakan sedang mencari seseorang yang bisa membuka hash atau enkripsi dari password akun para pengguna Tokopedia. Menurut dia, hash tersebut mengandung algoritma yang tidak diketahui.

    Unggahan ini mendapatkan reaksi hangat dari para pengguna forum itu. Banyak pengguna yang menawarkan diri untuk membuka hash tersebut. Lantas, pada 2 Mei 2020, akun Whysodank mengaku bahwa dia memiliki data dari 91 juta akun pengguna Tokopedia. Angka tersebut sama dengan jumlah akun aktif Tokopedia, yang dirilis pada 2019.

    Akun Whysodank mengaku menjual jutaan data itu di situs dark web Empire Market, memakai nama ShinyHunters. Data pengguna yang dijual di dark web itu berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor ponsel, dan password yang masih ter-hash. Semuanya dijual dengan harga US$ 5 ribu atau sekitar Rp 74 juta. Informasi mengenai penjualan data ini kemudian dibagikan oleh akun @underthebreach di Twitter pada 2 Mei 2020.

    Dalam pernyataan resminya pada 2 Mei 2020, Tokopedia mengakui adanya upaya pencurian data akun pengguna Tokopedia. “Namun, Tokopedia memastikan informasi penting pengguna seperti password tetap berhasil terlindungi,” kata Vice President of Corporate Communications Tokopedia, Nuraini Razak. Meskipun begitu, dia tidak menjelaskan secara mendetail data apa saja milik pengguna yang telah diretas.

    Ketidakterbukaan itu dipersoalkan oleh KKI. Menurut KKI, Tokopedia berusaha menyembunyikan fakta dengan hanya menyampaikan bahwa ada upaya pencurian data dan memastikan beberapa data masih aman. “Tokopedia telah melanggar kewajiban hukumnya dan tidak beritikad baik untuk melakukan pemberitahuan soal terjadinya kegagalan,” kata Ketua KKI David Tobing.

    Menurut pakar keamanan siber Pratama Persadha, password akun pengguna Tokopedia memang masih terenkripsi, “Namun, tinggal menunggu waktu saja sampai ada pihak yang bisa membuka.” Direktur Communication and Information System Security Research Center ini menambahkan, “Itulah kenapa pelaku mau melakukan share gratis beberapa juta akun untuk membuat semacam sayembara, siapa yang berhasil membuka kode acak (hash) password.”

    Menurut Pratama, meskipun password masih ter-hash, data lainnya sudah terbuka. Artinya, para peretas bisa memanfaatkan data-data itu untuk melancarkan penipuan dan pengambilalihan akun-akun di internet. Misalnya, mengirimkan tautan phising ataupun upaya social engineering lainnya. Jika password sudah berhasil dibuka, menurut Pratama, “Secara random, pelaku akan mencoba melakukan take over akun media sosial dan marketplace lain karena ada kebiasaan pemakaian password yang sama untuk berbagai platform.”

    Mencuatnya kasus ini juga memantik reaksi dari Dewan Perwakilan Rakyat. Wakil Ketua Komisi I DPR, Abdul Kharis Almasyhari, meminta Tokopedia bertanggungjawab atas dugaan kebocoran data 91 juta akun penngunanya itu. Menurut Kharis, Tokopedia sebagai PSE wajib memenuhi Standar Perlindungan Data Pribadi.

    “Sebagaimana yang dimuat dalam Peraturan Pemerintah Nomor 71 Tahun 2019 dan Peraturan Menteri Kominfo Nomor 20 Tahun 2016 Bab 5 Pasal 28, melindungi data pribadi beserta dokumen yang memuat data pribadi dari tindakan penyalahgunaan menjadi tanggung jawab PSE, dalam hal ini Tokopedia,” kata Kharis lewat keterangan tertulisnya.

    Akan tetapi, menurut Wahyudi Djafar, Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam), sanksi yang diatur dalam PP Nomor 71 Tahun 2019 dan juga Undang-Undang Informasi dan Transaksi Elektronik (ITE) seluruhnya bersifat administratif, seperti pemberian surat peringatan, instruksi untuk mengumumkan kasus ke media, dan pemblokiran platform. Tidak ada sanksi denda dalam aturan-aturan itu. “Jadi, tidak ada tindakan-tindakan lain yang bisa dilakukan termasuk dalam konteks memulihkan hak-hak pengguna,” kata Wahyudi.

    Berbeda halnya dengan Peraturan Perlindungan Data Umum (GDPR) di Eropa.  Regulasi tersebut memuat mekanisme sanksi denda bagi perusahaan yang lalai melindungi data pengguna. Perusahaan penerbangan British Airways misalnya pernah tersandung GDPR. Mereka didenda hingga 183 juta poundsterling oleh Kantor Komisaris Informasi (ICO) setelah peretas mencuri data pribadi sekitar 500 ribu akun pelanggan British Airways pada 2018.

    Menurut ICO, peretasan itu melibatkan data pelanggan berupa user login, nama, alamat, informasi kartu pembayaran, dan informasi pemesanan tiket. Data-data tersebut dicuri setelah pelanggan dialihkan ke situs palsu. ICO menuturkan pembobolan itu bisa terjadi karena British Airways memiliki “pengaturan keamanan yang buruk” dalam melindungi informasi pelanggan. “Hukumnya jelas, ketika dipercaya untuk memegang data pribadi, Anda harus menjaganya,” kata Komisioner ICO Elizabeth Denham.

    Sebenarnya, menurut Pratama, Tokopedia bisa saja menghadapi tuntutan dengan GDPR jika ada pengguna Tokopedia yang warga Eropa merasa dirugikan. “Ancamannya tidak main-main, bisa sampai 20 juta euro,” katanya. Dalam GDPR, perlindungan data menjadi hal yang sangat diprioritaskan. Dalam kasus Tokopedia, enkripsi pada password saja sangat tidak cukup. GDPR mewajibkan perlindungan terhadap seluruh data.

    Di Indonesia, nantinya, sanksi denda terkait pencurian data pribadi bakal diatur dalam UU Perlindungan Data Pribadi (PDP). Namun, hingga kini, aturan yang telah digodok sejak 2016 ini tak kunjung rampung. Menurut Direktur Jenderal Aplikasi Informatika Kementerian Kominfo, Semuel Abrijani Pangerapan, pembahasan Rancangan UU PDP terhambat oleh pandemi Covid-19. “Kami sedang merancang pertemuan online untuk membahas RUU PDP,” kata Semuel pada 4 Mei 2020.

    Namun, anggota Komisi I DPR, Sukamta, berpendapat seharusnya RUU PDP tidak dibahas dalam rapat virtual. “Karena banyak persoalan penting, perlu dicermati secara serius,” katanya pada 6 Mei 2020. Menurut anggota Komisi I DPR lainnya, Bobby Adhityo, pemerintah dan DPR masih harus menentukan lingkup data pribadi. “Apakah data yang terindikasi langsung, seperti data dalam UU Administrasi Kependudukan, termasuk data anonim, pseudonym, atau juga data yang tidak terindikasi langsung, seperti yang ada di e-commerce,” ujarnya.

    Jadi, kapan pemerintah dan DPR bakal mengesahkan UU PDP? Sepertinya, tidak dalam waktu dekat. Yang pasti, menurut Pratama, kasus peretasan data pengguna Tokopedia kali ini harus betul-betul menjadi pengingat pentingnya RUU PDP segera diketok. Tanpa UU PDP, masyarakat seperti dibiarkan berada di hutan belantara tanpa perlindungan.

    WARNA-WARNI PELACAK COVID-19  

    Negara-negara di dunia ramai-ramai mengembangkan alat pelacak kontak Covid-19 dalam beberapa bulan terakhir ini. Tujuannya tak bukan adalah untuk membantu mereka melacak penyebaran SARS-CoV-2, virus penyebab Covid-19, serta memperingatkan warganya yang berpotensi terinfeksi untuk mengisolasi diri di rumah atau menjalani tes di rumah sakit. Negara apa saja yang melakukan inisiatif ini.

    - Amerika Serikat memang belum memiliki aplikasi pelacak kontak Covid-19 secara nasional. Tapi, aplikasi-aplikasi itu bermunculan di tingkat negara bagian. Di Dakota Utara, pemerintah negara bagian itu mengembangkan aplikasi pelacak kontak bernama Care19. Di Utah, muncul aplikasi pelacak kontak Healthy Together. Sementara di negara bagian California dan New York, pemerintah sedang mengembangkan aplikasi pelacak kontak yang disebut Coalition dan “tracing army”.

    - Di Asia, Cina, Korea Selatan, dan Singapura menjadi pemimpin dalam pengembangan sistem pelacak kontak. Anak-anak muda di sana mulai menciptakan aplikasi pelacak kontak pada Januari 2020, sebelum Covid-19 mewabah. Pemerintah Cina mendapat bantian dua raksasa teknologi, Alibaba (Alipay) dan Tencent (WeChat), dalam membuat sistem pelacak kontak. Adapun Singapura merupakan salah satu negara pertama yang meluncurkan aplikasi pelacak kontak, yang diberi nama TraceTogether.

    - Sejumlah negara di Eropa juga sudah memiliki aplikasi pelacak kontak. Islandia menciptakan aplikasi bernama Rakning C-19. Swiss dan Austria membangun aplikasi berbasis pendekatan yang disebut DP-3T. Jerman dan Inggris masih dalam tahap pengembangan aplikasi. Sementara di Italia, perusahaan pengembang SoftMining memperkenalkan aplikasi pelacak kontak Covid-19 pada Maret lalu. Tak lama kemudian, sekelompok peretas meluncurkan tiruannya yang berisi kode jahat.

    - Sejak 4 Mei lalu, pemerintah India mewajibkan seluruh pekerja, baik publik maupun swasta, untuk menggunakan aplikasi pelacak kontak Covid-19 yang mereka kembangkan, Aarogya Setu atau Healthcare Bridge. Menurut pakar teknologi, berbeda dengan aplikasi lain yang hanya mengumpulkan satu data point, Aarogya Setu mengumpulkan sejumlah data point informasi pribadi, termasuk informasi yang sensitif, sehingga risiko privasi meningkat.

    - Aplikasi pelacak kontak Covid-19 memang menuai banyak kritik seputar privasi. Komisi Eropa menegaskan penggunaan aplikasi ini harus bersifat sukarela dan tidak melibatkan jenis data yang menunjukkan dengan tepat lokasi pengguna. “Karena tujuannya bukan mengikuti pergerakan individu,” kata Komisi Eropa. Sementara kelompok hak privasi American Civil Liberties Union mengatakan, alih-alih melacak ke mana orang pergi, aplikasi itu seharusnya memakai pertukaran sinyal bluetooth untuk melacak pertemuan.

    - Apple dan Google melarang pengembang untuk memakai fitur pelacak lokasi dalam aplikasi pelacak kontak Covid-19 mereka yang menggunakan application programing interface (API) buatan dua raksasa teknologi itu. Menurut Apple dan Google, sistem mereka hanya menggunakan sinyal bluetooth untuk mendeteksi kontak. Apple dan Google pun menyatakan bakal menonaktifkan sistem mereka itu setelah pandemi Covid-19 dapat terselesaikan.

    WAKTUNYA TRIVIA! 

    Berikut beberapa kabar tentang misinformasi dan disinformasi, keamanan siber, serta privasi data pekan ini, yang mungkin terselip dari perhatian. Kami mengumpulkannya untuk Anda.

    - International Fact-Checking Network (IFCN) meluncurkan chatbot WhatsApp untuk memerangi penyebaran hoaks seputar Covid-19 pada 4 Mei 2020. Lewat chatbot ini, pengguna dapat mengakses lebih dari 4 ribu artikel cek fakta terkait Covid-19 milik lebih dari 100 pemeriksa fakta independen di lebih dari 70 negara, termasuk Tempo CekFakta. Pengguna dapat memulai layanan chatbot ini dengan menyimpan nomor +1 (727) 2912606 dan mengirim pesan berbunyi “hi” atau mengklik tautan ini. Saat ini, chatbot tersebut baru tersedia dalam bahasa Inggris.

    - YouTube menghapus kanal teori konspirasi milik David Icke dari platformnya pada 2 Mei 2020. Langkah ini diambil setelah YouTube berulang kali memperingatkan Icke bahwa konten-kontennya melanggar kebijakan, yakni larangan mengunggah informasi sesat tentang Covid-19. Meskipun begitu, YouTube tetap mengizinkan video-video yang diunggah kanal lain yang menampilkan Icke, selama konten mereka tidak melanggar ketentuan. Saat dihapus, kanal Icke telah memiliki lebih dari 900 ribu subscriber. YouTube menyatakan Icke tidak akan diizinkan membuat kanal baru.

    - Peneliti Kaspersky baru-baru ini menemukan serangkaian serangan spam dan phising yang menarget orang-orang yang menunggu kiriman paket. Dalam praktiknya, pelaku berpura-pura menjadi karyawan jasa pengiriman yang menginformasikan kedatangan paket. Mereka meminta korban untuk membuka file yang disebut berisi informasi paket. Tapi saat file dibuka, malware terunduh dan terpasang secara otomatis pada perangkat korban. Malware ini dapat mengubah perangkat menjadi bot, mencuri data, atau mengunduh malware tambahan.

    - Pada 4 Mei 2020, Instagram meluncurkan sebuah fitur untuk membantu pelaku bisnis di Indonesia, terutama di bidang kuliner, di tengah pandemi Covid-19. Fitur tersebut berupa sticker “pesan makanan” di Instagram Stories yang bisa digunakan oleh pemilik akun bisnis. Ketika akan memasang sticker ini, pengguna bakal diminta untuk memasukkan tautan tempat makan miliknya yang terdapat dalam aplikasi mitra pengantar makanan, dalam hal ini GrabGood. Follower pun bisa langsung mengetuk tautan yang telah diunggah ke Instagram Stories untuk memesan.

    - Peneliti keamanan Gabi Cirlig mengungkapkan bahwa ponsel bikinan Xiaomi diam-diam merekam aktivitas penggunanya. Awalnya, Cirlig merasa ada hal yang tidak wajar di ponsel Redmi Note 8 miliknya. Setelah ditelusuri, ponsel itu banyak merekam aktivitasnya dan mengirim datanya ke server milik Alibaba. Perekaman ini antara lain dilakukan lewat browser bawaan. Xiaomi menyatakan tudingan Cirlig itu tidak benar. Namun, menurut seorang juru bicara Xiaomi, perusahaannya memang mengumpulkan data browsing, tapi informasi yang direkam bersifat anonim.

    - Agensi rapper Jay-Z, Roc Nation, melayangkan teguran terkait hak cipta terhadap dua video di kanal YouTube Vocal Synthesis. Teguran ini dibikin sebagai upaya untuk menghapus dua video di kanal itu yang berisi suara tiruan Jay-Z. Hingga kini, kanal Vocal Synthesis telah mengunggah ratusan video yang menampilkan selebritas dan politikus dengan suara editan yang dihasilkan dari perangkat lunak Tactotron2. Menurut Roc Nation, kanal itu “secara tidak sah menggunakan artificial intelligence untuk meniru suara klien kami”.

    PERIKSA FAKTA SEPEKAN INI

    Video yang diklaim sebagai video puluhan ribu TKA Cina di Morowali, Sulawesi Tengah, yang membuat ulah saat pandemi Covid-19 beredar di media sosial. Video ini merupakan video yang direkam ulang dari ponsel lain, kemudian dinarasikan oleh si perekam. Perekam itu mengatakan, “Puluhan ribu pekerja Cina di Morowali buat ulah. Ratusan ribu bahkan tuh. Mereka mulai demo itu. Gimana kalau ini ribut? Ancur enggak ini satu pulau, Morowali? Hebat Joko, Joko.”

    Berdasarkan penelusuran Tim CekFakta Tempo, video tersebut pernah diunggah oleh kanal YouTube KompasTV pada 25 Januari 2019, jauh sebelum munculnya Covid-19 di Wuhan, Cina, pada Desember 2019. Ketika itu, beredar pula narasi seperti yang menyebar saat ini, bahwa video tersebut adalah video demonstrasi TKA Cina. Namun, dalam video KompasTV tersebut, Kapolres Morowali Ajun Komisaris Besar Dadan Wahyudi menyatakan bahwa demonstrasi dalam video yang viral itu digelar oleh tenaga kerja lokal PT Indonesia Morowali Industrial Park (IMIP) yang menuntut kenaikan Upah Minimum Sektoral Kabupaten (UMSK). Saat dihubungi Tempo pada 5 Mei 2020, Koordinator Humas PT IMIP, Dedy Kurniawan, juga memastikan bahwa narasi yang menyertai video tersebut hoaks. “Video dalam unggahan itu adalah video demonstrasi karyawan Indonesia yang tergabung dalam lima serikat buruh di kawasan PT IMIP pada pertengahan Januari 2019 terkait permintaan kenaikan UMSK,” katanya.

    Selain artikel di atas, kami juga melakukan pemeriksaan fakta terhadap beberapa hoaks yang beredar. Buka tautan ke kanal CekFakta Tempo.co untuk membaca hasil periksa fakta berikut:

    Kenal seseorang yang tertarik dengan isu disinformasi? Teruskan nawala ini ke surel mereka. Punya kritik, saran, atau sekadar ingin bertukar gagasan? Layangkan ke sini.

    Ikuti kami di media sosial:

    Facebook

    Twitter

    Instagram


     

     

    Lihat Juga



    Selengkapnya
    Grafis

    Kemendikbud, yang Diperhatikan Saat Murid Belajar dari Rumah

    Solusi menghambat wabah Covid-19 diantaranya adalah belajar dari rumah dengan cara menghentikan sekolah biasa dan menggantinya dengan sekolah online.