Data Pengguna Tokopedia Bocor di Darknet, Saatnya Ganti Password jadi 'Passphrase'

Sabtu (2/5) akhir pekan lalu, akun Twitter @underthebreach nge-spill informasi yang bikin pengguna Tokopedia waswas. Dalam cuitannya, admin mengunggah foto tangkapan layar tentang seorang peretas yang sedang meminta pertolongan peretas lain di sebuah forum gelap internet untuk menyelesaikan masalahnya saat meretas database pengguna situs Tokopedia.

Di postingan tersebut, sang peretas mengklaim punya akses ke paling sedikit 15 juta user e-commerce asal Indonesia ini dan siap berbagi hasil bagi yang berminat.

Keesokan harinya, akun @underthebreach melaporkan lagi bahwa pemilik akun sama sedang menawarkan data 91 juta pengguna Tokopedia seharga US$5.000 (setara Rp76 juta) di Empire Market, salah satu situs pasar gelap internet, biasa dijuluki darknet.

Kementerian Komunikasi dan Informatika segera meminta Tokopedia melakukan investigasi internal atas dugaan kebocoran dan penjualan data pengguna ini, lalu menjelaskan duduk masalahnya pada pemerintah. "Saya telah meminta Dirjen Aptika untuk memanggil direksi Tokopedia agar memberikan penjelasan terkait ini. pertemuan dilakukan tanggal 4 Mei [2020]," kata Menkominfo Johnny G Plate, lewat keterangan tertulis.

Jurnalis Spesialis Keamanan Siber Waqas dari Hackread memastikan telah terjadi pembobolan besar-besaran kepada database Tokopedia. Peretas diduga mendapat akses data berupa jenis kelamin, lokasi, username, nama lengkap, alamat email, nomor ponsel, dan hashed password.

Secara singkat, hashed password adalah kata acak terdiri dari simbol dan kode-kode dari password asli yang biasa dilakukan sebuah situs dengan tingkat pengamanan baik, agar data pengguna di situs tersebut tidak bisa diambil dengan mudah oleh peretas. Dalam kasus penjualan Tokopedia di atas, sang peretas terlihat kesulitan menguraikan hashed password tersebut.

Dari situ, para pengguna yang datanya dijual kemungkinan akan terus-terusan mendapat email penipuan oleh kriminal siber. Pencurian akses kata sandi korban biasanya juga digunakan dalam tindak pemerasan dan pencurian identitas. Waqas mengklaim telah mengkonfimasi bahwa sang peretas berhasil menjual 91 juta data pengguna Tokopedia kepada setidaknya dua pembeli. Bahkan, salah satu pembeli memberikan feedback positif dengan ngasih testimoni bahwa data tersebut asli.

Selain Tokopedia, Waqas mencatat peretas yang sama menjual data pengguna platform lain, seperti Unacademy (20 juta pengguna untuk US$2.000), Chatbook (15 juta pengguna, US$2.000), The Daily Chronicle (3 juta pengguna, US$1.500), dan Knock CRM (15 juta, US$1.200).

Merespons kasus ini, Tokopedia menenangkan penggunanya bahwa setiap informasi penting pengguna berhasil terlindungi. Pihak perusahaan tidak menampik fakta bahwa pihaknya memang menemukan upaya pencurian data. Oleh karena itu, selagi Tokopedia melakukan investigasi, mereka menyarankan para pengguna mengganti kata sandi dari akun masing-masing.

"Meskipun password dan infomasi krusial pengguna tetap terlindungi di balik enkripsi, kami menganjurkan pengguna Tokopedia untuk tetap mengganti password akunnya secara berkala demi keamanan dan kenyamanan," kata Vice President of Corporate Communications Tokopedia Nuraini Razak kepada Kumparan.

Oke, terus apa nih tindakan yang bisa kita lakukan sebagai pengguna untuk melindungi akun kita sendiri atau setidaknya membuat peretas sedikit lebih kesulitan membobol? Federal Bureau of Investigation (FBI) pernah ngomong kalau menggunakan passphrase sebagai sandi bisa jadi alternatif solusi.

"Daripada menggunakan password yang pendek dan rumit yang susah diingat, lebih baik gunakan passphrase yang panjang,” kata FBI lewat rilisan tertulis.

Apabila password atau kata kunci adalah sandi pendek (biasanya satu kata doang, makanya namanya password) dan belakangan dibuat rumit dengan menggabungkan beberapa jenis karakter dan kombinasi huruf besar-kecil, passphrase adalah frasa (= kumpulan beberapa kata) kunci yang antarkata bisa dengan atau tanpa spasi.

Menurut situs passphrase.com, karena manusia sulit mengingat password, kita terbiasa memakai kata yang umum, seperti nama, tanggal, lokasi, dan kata umum sehari-hari. Akibatnya, tercipta pola bahwa rata-rata orang akan memakai kata-kata tersebut dalam password mereka. Jenis-jenis kata ini, mau dikombinasikan dengan angka atau karakter sekalipun, mudah ditebak oleh komputer yang dipakai hacker. Dalam kasus bahasa Inggris, 30 persen password bisa dipecahkan komputer dalam waktu kurang dari 1 detik.

Untuk membandingkan tingkat keamanan password dan passphrase, situs tersebut menghitung waktu yang dibutuhkan hacker mengurai kedua jenis kunci ini. Hasilnya:

• Kata biasa seperti “December” bisa di-crack dalam waktu 18 milidetik.
• Kata yang mudah diingat karena mengikuti pola keypad atau keyboard seperti “qwerty” dan “aaaaaa” bisa di- crack dalam 10 milidetik.
• Nama hewan peliharaan bisa di-crack dalam 27 milidetik.
• Nomor penting seperti kode pos atau tanggal khusus bisa di- crack dalam 2,213 detik.
• Kata yang dikombinasikan dengan angka, seperti “S4nfr4n”, bisa di- crack dalam 639 milidetik.

Password tertentu memang bisa sangat sulit ditebak. Situs tersebut mencontohkan kata kunci "p%9y#k&yFm?" dan "logic finite eager ratio" yang masing-masing butuh waktu 90 juta abad dan 189 juta abad agar komputer bisa memecahkannya. Namun, tak banyak orang bisa bikin apalagi mengingat password kayak gitu.

Jadi, solusinya tetap balik ke passphrase yang praktik pemakaiannya lebih simpel. Misal, untuk passphrase gini doang, "mergers decade labeled manager", atau, untuk versi bahasa Indonesia (sayangnya jadi tak bisa lagi dipakai) contohnya bisa seperti ini: "Ibuku Perempuan 100% palingsexySedunia". Ketika kalian menggunakan passphrase, komputer peretas butuh 6 juta abad untuk memecahkannya.

Buset dah, ini mecahin passphrase udah kayak ngejar kekayaan Jeff Bezos aja rasanya.