REPUBLIKA.CO.ID, oleh Antara, Ali Mansur
Pakar keamanan siber dari CISSReC Pratama Persadha memandang pemerintah dan DPR RI perlu segera membahas dan mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) menjadi undang-undang. Pratama mengatakan, kasus dugaan peretasan dan penjualan data pelanggan Tokopedia ke dark web harus dianggap sebagai menjadi persoalan serius di tengah pandemi Covid-19.
"Bagaimana tidak, ada 91 juta data pengguna yang dijual dengan murah di dark web," kata Pratama yang pernah sebagai pejabat Lembaga Sandi Negara (Lemsaneg) yang kini menjadi Badan Siber dan Sandi Negara (BSSN), Senin (4/5).
Peristiwa ini, lanjut Pratama, sekali lagi menjadi pengingat betapa pentingnya RUU Perlindungan Data Pribadi untuk segera diselesaikan. Tanpa UU PDP, masyarakat seperti dibiarkan di hutan belantara tanpa perlindungan.
"Data masyarakat kita, baik di online (dalam jaringan/daring) maupun offline (luar jaringan/luring), banyak disalahgunakan dan yang paling krusial data masyarakat tidak dilindungi," kata Pratama.
Menurut Pratama, Tokopedia seharusnya dimintai pertanggungjawaban. Namun, permintaan pertanggungjawaban itu menjadi tidak memiliki dasar karena RUU PDP belum juga tuntas dibahas.
"Coba kita lihat data yang diretas, praktis hanya password saja yang dienkripsi, padahal data lainnya juga sangat krusial. Ada user ID, email, nama lengkap, tanggal lahir, jenis kelamin, dan nomor seluler," katanya.
Pratama yang juga dosen Etnografi Dunia Maya pada Program Studi S-2 Antropologi Universitas Gadjah Mada (UGM) Yogyakarta mengutarakan bahwa pengguna Tokopedia saat ini menjadi sasaran empuk tindak kejahatan. Salah satunya, phishing dengan memanfaatkan data tersebut.
Selain pengamanan yang tidak menyeluruh, menurut Pratama, Tokopedia juga tidak langsung memberikan notifikasi kepada pengguna terdampak dan tidak pula memberi tips langkah preventif kepada mereka. Hal yang sebenarnya bisa saja mudah dilakukan dengan notif lewat aplikasi, email, SMS, dan WhatsApp (WA).
Di sisi lain, Pratama mengemukakan bahwa Tokopedia juga harus menghadapi ancaman tuntutan bila ada user Tokopedia warga Uni Eropa yang merasa rugi. Warga Uni Eropa dilindungi General Data Protection Regulation (GDPR), semacam UU yang melindungi data warganya di seluruh dunia.
"Ancamannya tidak main-main, bisa sampai 20 juta euro," kata pria kelahiran Cepu, Kabupaten Blora, Jawa Tengah ini.
Dalam GDPR, lanjut dia, perlindungan data menjadi hal yang sangat diprioritaskan. Dalam kasus Tokopedia, enkripsi hanya pada password saja sangat tidak cukup. GDPR sendiri mewajibkan perlindungan pada seluruh data.
Dalam GDPR, akan dicek apakah data sensitif dienkripsi atau tidak? Apakah platform memiliki sumber daya manusia (SDM) dan vendor teknologi yang cakap atau tidak?
"Hal itu juga berkaitan dengan update security patch. Apakah hal ini dilakukan berkala atau tidak? Selanjutnya, bagaimana model pengamanan yang dijalankan setiap harinya," kata Pratama Persadha.
Yayasan Lembaga Konsumen Indonesia (YLKI) menduga sistem IT di Tokopedia tidak cukup andal sehingga gampang diretas oleh pihak lain. YLKI juga menduga adanya sindikat jual beli data konsumen Tokopedia.
"Oleh karena itu YLKI mendesak, pihak Tokopedia, untuk memberikan klarifikasi kepada publik terkait sistem atau teknologi yang dipakai dalam perlindungan data pribadi," ujar Ketua Pengurus Harian YLKI, Tulus Abadi saat dihubungi Republika.co.id. Ahad (3/5).
Tulus mempertanyakan, apakah sistem perlindungan data pribadi di Tokopedia digaransi oleh pihak ketiga atau tidak. YLKI juga mempertanyakan berapa lapis sistem keamaman perlindungan data pribadi yang digunakan Tokopedia.
Kemudian terkait jual beli data, jika memang tidak ada jual beli data yang dilakukan oleh manajemen, maka Tokopedia harus bisa menyakinkan konsumennya.
"YLKI baru menerima pengaduan dari konsumen, bahwa ia menerima tagihan dari dari toko mata uang Bath. Padahal, konsumennya tidak pernah ke Thailand," keluh Tulus.
Merespons kasus dugaan peretasan data pelanggannya, Tokopedia menyatakan prioritas mereka saat ini adalah mengenai keamanan data pengguna.
"Sekali lagi kami tekankan, keamanan data pengguna adalah prioritas Tokopedia karena bisnis kami adalah bisnis kepercayaan," kata VP of Corporate Communications Tokopedia, Nuraini Razak, dalam keterangan resmi, Senin malam.
Tokopedia siang ini bertemu secara virtual dengan Kementerian Komunikasi dan Informatika (Kominfo) serta Badan Siber dan Sandi Negara (BSSN) untuk membahas kasus kebocoran data tersebut, yang mencuat ke publik sejak awal pekan ini. Perusahaan unicorn tersebut belum menjelaskan lebih lanjut langkah apa yang mereka tempuh untuk mengatasi kasus ini maupun tambahan keamanan untuk melindungi data pengguna, namun, Tokopedia menyatakan akan bekerja sama dengan berbagai pihak, termasuk Kominfo dan BSSN untuk mengatasi kasus ini.
"Dalam rangka melakukan investigasi menyeluruh, sekaligus meningkatkan sistem keamanan, untuk menjaga kepercayaan pengguna," kata Nuraini.
Kasus kebocoran data pengguna Tokopedia pertama kali terungkap setelah seorang peretas mengklaim memiliki data dari 15 juta pengguna Tokopedia dan mengumumkannya di dark web. Data yang diretas , seperti yang diumumkan peretas berupa nama, alamat email dan hashed password. Kominfo dalam keterangan resmi hari ini menyatakan kemungkinan data yang diambil adalah nama, alamat email dan nomor ponsel.