kasus Pembobolan 91 Juta Akun TokoPedia (2020)

Kelompok 3

Dian Dirna Zi Dany

Heni Novia Rahayu

Mismawati

Putri Ardhiya Setiawan

Vivi Istikomah


2.1 Kronologi Kebocoran Data Tokopedia

E-commerce  tokopedia  diretas  hacker.  Tokopedia  dilaporkan  mengalami peretasan, bahkan jumlahnya diperkirakan 91 juta akun dan 7 juta akun merchant, tidak lagi  15  juta  seperti  diberitakan  sebelumnya.  Padahal  di  tahun  2019,  tokopedia mengungkapkan bahwa ada sekitar 91 juta akun aktif di platformnya (Suyanto, 2003). Artinya hampir semua akun di tokopedia berhasil diambil datanya oleh peretas. Pelaku menjual  data  di  dark  web  berupa  user  ID,  email,  nama  lengkap,  tanggal  lahir,  jenis kelamin, nomor handphone  dan password  yang masih tersandi. Semua dijual dengan harga US$5.000 atau sekitar Rp74.000.000,00 (tujuh puluh empat juta rupiah). Bahkan ada 14.999.896 akun tokopedia yang datanya saat ini bisa didownload (Tambunan et al., 2018).

  Adapun kronologi lengkap bobolnya akun tokopedia tersebut bermula saat peretas whysodank  pertama  kali  mempublikasikan  hasil  peretasan  di  raid  forum  pada  sabtu (2/5). Peretasan tersebut terjadi pada 20 Maret 2020. Kemudian, akun @underthebreach sore harinya pukul 16:15 wib mencuitkan soal peretasan dan mengaku sebagai layanan pengawasan dan pencegahan kebocoran data asal Israel. Cuitan ini disampaikan sembari menyolek akun resmi tokopedia.

Dalam tangkapan layar yang dibagikan di media sosial disebut kalau peretas masih harus memecahkan algoritma untuk membuka hash dari password para pengguna itu. Peretas  pun  meminta  bantuan  peretas  lain  untuk  membuka  kunci  algoritma  itu. Tangkapan layar berikutnya, akun pembocor informasi ini menyertakan sebagian akun pengguna  yang  bisa  dibuka  lewat  situs  tersebut.  Tampak  nama,  email  dan  nomor telepon pengguna muncul di situs. 

"Seseorang membocorkan basis data tokopedia,  perusahaan teknologi besar asal Indonesia yang menjalankan e-commerce," tulis akun tersebut. "Peretasan dilakukan pada Maret 2020 dan berpengaruh pada 15 juta pengguna, meski peretas menyebut masih banyak lagi. Basis data (yang diretas) termasuk email, hash password, nama," lanjutnya. Cuitan tersebut langsung ramai ditanggapi pengguna twitter Indonesia. Kemudian, pada sabtu pukul 21.00 wib, tokopedia mengakui ada upaya pencurian data pengguna. Hal ini disampaikan Nuraini Razak, VP of Corporate Communications tokopedia terkait isu bocornya data belasan juta akun pengguna Tokopedia. “Berkaitan  dengan  isu  yang beredar, kami menemukan adanya upaya pencurian data  terhadap  pengguna  tokopedia,  namun  tokopedia  memastikan  informasi  penting pengguna,  seperti  password,  tetap  berhasil  terlindungi,”  tulisnya  dalam  keterangan resmi, sabtu (2/4) malam. “Saat ini, kami terus melakukan investigasi dan belum ada informasi lebih lanjut yang dapat kami sampaikan” lanjutnya. Kemudian keesokan harinya, whysodank mengumumkan telah menjual seluruh 91 juta data pengguna tokopedia di forum dark web bernama Empire  Market,Minggu(3/5).                                                    

51 Di  situs  itu,  whysodank  menggunakan  nama  akun  ShinyHunters.  Data  terbaru  dari peretas tersebut mematahkan klaim data peretasan sebelumnya yang menyebut hanya ada 15 juta akun. Kejadian ini bukan  yang pertama kali di tanah air. Sebelumnya bukalapak juga mengalami hal serupa. Seharusnya ini menjadi peringatan keras pada setiap penyedia layanan di internet yang memakai banyak data masyarakat dalam kegiatannya. Sebelumnya isu kebocoran data oleh tokopedia ini sudah beredar sejak Februari lalu  tapi  pihak  tokopedia  berdalih  bahwa  isu  tersebut  tidak  benar.  Bahkan  Vice President of  Corporate  Communications  tokopedia mengungkapkan bahwa informasi pada  situs  yang  mengaku  memperjualbelikan  data  tak  benar  (Goodman,  1998). Informasi pada situs tak bertanggungjawab itu hanya berisi penjual berbasis email yang tergabung  di  tokopedia.  Hal  ini  membuat  gusar  para  pengguna  aplikasi  tersebut  dan mempengaruhi minat serta kepercayaan konsumen.



2.2 Dampak Kebocoran Data

Kasus pembobolan 91 juta akun pengguna Tokopedia pada tahun 2020 memberikan dampak luas terhadap berbagai pihak. Kebocoran data tidak hanya berdampak pada individu pengguna, tetapi juga memengaruhi reputasi dan operasional perusahaan serta mendorong perubahan dalam kebijakan publik dan regulasi perlindungan data oleh pemerintah. Berikut ini adalah penjabaran dampak yang timbul dari insiden tersebut.

2.2.1 Dampak bagi Pengguna

Bagi pengguna Tokopedia, kebocoran data menimbulkan kekhawatiran serius terkait privasi dan keamanan informasi pribadi. Data yang bocor mencakup nama lengkap, alamat email, nomor telepon, tanggal lahir, serta informasi lain yang berpotensi digunakan oleh pihak ketiga untuk kejahatan siber seperti phishing, spam, hingga pencurian identitas. Meskipun Tokopedia menyatakan bahwa kata sandi telah dienkripsi (di-hash), para penjahat siber masih dapat menggunakan data tersebut untuk mencoba masuk ke akun lain milik pengguna, dengan asumsi pengguna memakai kata sandi yang sama di berbagai platform (Putri & Supriyanto, 2021).

Pasca insiden, banyak pengguna melaporkan menerima pesan dan email mencurigakan, bahkan upaya penipuan daring yang memanfaatkan data pribadi mereka. Kejadian ini menyebabkan menurunnya kepercayaan terhadap layanan e-commerce, khususnya Tokopedia. Pengguna menjadi lebih waspada dan sebagian mulai beralih ke platform lain yang dinilai lebih aman. Selain itu, kebocoran ini turut mengungkap lemahnya kesadaran masyarakat mengenai keamanan digital, seperti pentingnya penggunaan kata sandi unik dan dua faktor autentikasi (2FA).

2.2.2 Dampak bagi Tokopedia

Bagi Tokopedia sebagai perusahaan, insiden kebocoran data merupakan krisis besar yang berdampak terhadap citra, kepercayaan konsumen, dan potensi kerugian finansial. Sebagai salah satu perusahaan unicorn teknologi terbesar di Asia Tenggara, reputasi Tokopedia sangat bergantung pada kepercayaan pengguna. Kebocoran data ini mengundang kritik tajam dari masyarakat dan media, terutama karena perusahaan dinilai tidak cukup transparan dalam menginformasikan detail insiden kepada publik.

Selain tekanan reputasi, Tokopedia juga menghadapi tuntutan untuk segera meningkatkan sistem keamanan sibernya. Insiden ini mendorong perusahaan melakukan audit sistem digital secara menyeluruh dan memperkuat prosedur perlindungan data pengguna. Dalam kacamata etika bisnis, Tokopedia dianggap gagal memenuhi kewajiban moralnya untuk menjaga privasi pengguna (Fadilah, 2021). Ketidakjelasan komunikasi dan respons krisis juga memperburuk persepsi publik, yang menganggap perusahaan menyepelekan insiden serius ini.

2.2.3 Dampak bagi Pemerintah

Dampak kebocoran data Tokopedia juga terasa di ranah kebijakan publik. Pemerintah Indonesia, yang saat itu belum memiliki undang-undang khusus tentang perlindungan data pribadi, mendapat sorotan tajam. Insiden ini menjadi titik balik penting yang mendorong percepatan pembentukan kerangka hukum yang lebih kuat, yakni Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) yang akhirnya disahkan pada tahun 2022.

Kasus Tokopedia memperlihatkan lemahnya sistem pengawasan dan respons hukum terhadap kejahatan siber. Pemerintah menyadari pentingnya perlindungan privasi warga negara dalam ekosistem digital yang terus berkembang. Menurut Mahendra (2023), kebocoran Tokopedia menjadi katalis bagi kesadaran kolektif tentang perlunya regulasi tegas, transparansi perusahaan digital, dan mekanisme penegakan hukum yang efisien dalam menangani pelanggaran data.

Insiden ini juga memicu upaya peningkatan kapasitas kelembagaan, seperti penguatan fungsi Badan Siber dan Sandi Negara (BSSN) serta keterlibatan lebih besar Kominfo dalam pengawasan sistem elektronik. Pemerintah mulai mendorong seluruh penyelenggara sistem elektronik untuk memiliki standar keamanan minimum dan melaporkan insiden siber secara cepat dan terbuka.


2.3 Tinjauan Keamanan dan Hukum 

Kebocoran data Tokopedia tahun 2020 menunjukkan lemahnya sistem keamanan siber perusahaan. Informasi pengguna seperti nama, email, dan nomor telepon bocor, meskipun kata sandi diklaim telah di-hash. Hal ini menunjukkan bahwa Tokopedia belum menerapkan sistem keamanan berlapis dan respons insiden yang baik (Fadilah, 2021).

Secara hukum, saat insiden terjadi, Indonesia belum memiliki Undang-Undang Perlindungan Data Pribadi. Peraturan yang ada saat itu seperti UU ITE dan PP No. 71 Tahun 2019 belum memberikan sanksi tegas atau mekanisme perlindungan korban (Mahendra, 2023). Kasus ini mendorong percepatan pengesahan UU PDP pada 2022 yang kini mengatur kewajiban pelaporan insiden dan sanksi terhadap pengendali data yang lalai.

2.3.1 Tinjauan Keamanan

Insiden kebocoran data yang terjadi pada Tokopedia tahun 2020 menunjukkan adanya kelemahan struktural dalam sistem keamanan siber perusahaan. Data yang bocor meliputi nama, email, tanggal lahir, nomor telepon, hingga password yang diklaim telah di-hash. Meski metode hashing dapat melindungi kata sandi dari pembacaan langsung, hal tersebut tidak cukup jika lapisan keamanan lainnya tidak memadai.

Menurut Fadilah (2021), sistem keamanan informasi yang digunakan Tokopedia saat itu belum memenuhi prinsip-prinsip dasar dari kerangka kerja keamanan siber seperti Confidentiality, Integrity, Availability (CIA). Kurangnya audit keamanan secara berkala, tidak adanya sistem deteksi intrusi yang responsif, serta kelambanan dalam menyampaikan informasi kepada publik memperburuk krisis ini. Hal ini menunjukkan bahwa pendekatan keamanan Tokopedia masih bersifat reaktif, bukan preventif.

Selain itu, dalam perspektif manajemen risiko siber, perusahaan digital seperti Tokopedia seharusnya mengantisipasi potensi serangan dengan menempatkan proteksi berlapis, menerapkan penetration testing, serta memiliki prosedur respons insiden yang jelas dan transparan. Kejadian ini menjadi pelajaran penting bahwa investasi pada keamanan digital tidak hanya bersifat teknis, melainkan juga strategis untuk menjaga kepercayaan publik dan kelangsungan bisnis digital (Putri & Supriyanto, 2021).

2.3.2 Tinjauan Hukum

Dari aspek hukum, insiden ini terjadi saat Indonesia belum memiliki regulasi yang kuat mengenai perlindungan data pribadi. Pada tahun 2020, belum ada Undang-Undang Perlindungan Data Pribadi yang khusus dan komprehensif. Regulasi yang berlaku saat itu seperti UU ITE, PP No. 71 Tahun 2019, dan Permenkominfo No. 20 Tahun 2016 belum memberikan perlindungan hukum yang cukup terhadap korban kebocoran data, maupun sanksi tegas bagi pelaku atau pihak yang lalai.

Mahendra (2023) dalam penelitiannya menyatakan bahwa insiden Tokopedia menjadi contoh nyata lemahnya kepastian hukum terkait tanggung jawab penyedia layanan digital atas kebocoran data. Tidak ada kompensasi jelas bagi pengguna, tidak ada gugatan hukum yang konkret, serta tidak ada kewajiban hukum yang memaksa Tokopedia untuk mengumumkan detail teknis kebocoran. Hal ini menimbulkan kekosongan hukum yang membuat pelanggaran data berskala besar seperti ini tidak ditangani secara tegas.

Namun, kasus ini menjadi pemicu penting dalam proses percepatan pembentukan Undang-Undang Perlindungan Data Pribadi (UU PDP) yang akhirnya disahkan pada tahun 2022. Dalam undang-undang tersebut, terdapat pengaturan tentang hak subjek data, kewajiban pengendali data, sanksi pidana dan administratif, serta kewajiban pelaporan insiden maksimal 72 jam sejak kebocoran terdeteksi. Kebocoran data Tokopedia menjadi preseden penting dalam penyusunan norma hukum baru di era digital, dan menjadi titik balik penguatan hukum siber nasional (Sondakh & Sitompul, 2021).


2.4 Penanganan dan Tindak Lanjut Kasus Pembobolan 91 Juta Akun Tokopedia (2020)

Pasca terjadinya kebocoran data besar-besaran yang melibatkan 91 juta akun pengguna Tokopedia pada Mei 2020, berbagai langkah penanganan dilakukan oleh pihak Tokopedia, meskipun banyak pihak menilai bahwa tindakan tersebut tergolong lambat dan tidak transparan. Tokopedia awalnya menyampaikan bahwa data penting seperti kata sandi pengguna tetap aman karena telah dilindungi dengan teknik hashing. Namun, perusahaan tidak memberikan informasi teknis mendetail mengenai algoritma yang digunakan maupun sejauh mana lapisan keamanan tambahan diterapkan. Hal ini memicu kritik dari masyarakat dan para pakar keamanan siber yang menilai bahwa penjelasan tersebut tidak memadai untuk menjamin keamanan data pengguna (Fadilah, 2021).

Langkah awal yang diambil Tokopedia lebih bersifat komunikasi publik, seperti menyarankan pengguna untuk mengganti kata sandi dan menyatakan bahwa tidak ada data finansial seperti informasi kartu kredit yang bocor. Tokopedia juga mengklaim bahwa pihaknya bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) serta Kementerian Komunikasi dan Informatika (Kominfo) dalam investigasi teknis insiden tersebut. Meski demikian, hasil investigasi secara resmi tidak pernah diumumkan ke publik secara lengkap (Sondakh & Sitompul, 2021).

Di sisi lain, pemerintah melalui BSSN melakukan pendampingan teknis terhadap Tokopedia dan memberikan pernyataan bahwa sistem keamanan perusahaan perlu ditingkatkan secara signifikan. Kementerian Kominfo juga mendorong perusahaan digital lainnya untuk segera memperbarui sistem keamanan informasi mereka, termasuk dengan mengadopsi standar ISO/IEC 27001 untuk manajemen keamanan informasi. Meski begitu, tidak ada sanksi yang diberikan kepada Tokopedia, karena pada saat itu belum ada kerangka hukum khusus yang mengatur perlindungan data pribadi secara komprehensif (Mahendra, 2023).

Tekanan publik atas kasus ini turut mempercepat proses legislasi Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP), yang kemudian disahkan pada tahun 2022 menjadi Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi. Undang-undang ini secara eksplisit mengatur tanggung jawab pengendali data pribadi, kewajiban pemberitahuan insiden kebocoran maksimal 72 jam, serta sanksi administratif dan pidana bagi pelanggar. Dalam konteks ini, kasus Tokopedia dijadikan sebagai rujukan penting dalam pembentukan sistem tata kelola data pribadi yang lebih ketat di Indonesia (Putri & Supriyanto, 2021).

Meskipun tidak ada gugatan hukum besar yang diajukan pengguna terhadap Tokopedia, kasus ini memberikan pelajaran penting bagi industri e-commerce Indonesia mengenai pentingnya keamanan data sebagai elemen utama kepercayaan pengguna. Sejak kejadian tersebut, perusahaan-perusahaan digital di Indonesia mulai lebih aktif mengimplementasikan autentikasi dua faktor (2FA), pembaruan sistem enkripsi, serta sosialisasi perlindungan data kepada pengguna.

Tidak ada komentar:

Posting Komentar

Cari Blog Ini

Arsip Blog

Diberdayakan oleh Blogger.

Recent Posts

Definition List

Definition list
Consectetur adipisicing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.
Lorem ipsum dolor sit amet
Consectetur adipisicing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

Unordered List

  • Lorem ipsum dolor sit amet, consectetuer adipiscing elit.
  • Aliquam tincidunt mauris eu risus.
  • Vestibulum auctor dapibus neque.

Pages

Theme Support

Need our help to upload or customize this blogger template? Contact me with details about the theme customization you need.