Pakar keamanan cyber Ruby Alamsyah turut buka suara terkait kebocoran data 91 juta pengguna Tokopedia. Menurutnya, sistem keamanan yang dimiliki salah satu e-commerce tersebut masih belum maksimal.
- Nidya Putri
- Selasa, 07 Juli 2020 - 16:01 WIB
WowKeren - Data 91 juta pengguna Tokopedia baru-baru ini dikabarkan beredar di media sosial. Adalah Lembaga Riset Siber Indonesia CISSRec yang melaporkan informasi ini.
Kebocoran data pengguna tersebut lantas mengundang kritikan terkait sistem keamanan salah satu e-commerce ternama di Indonesia tersebut. Pakar keamanan cyber Ruby Alamsyah pun turut buka suara terkait masalah yang menimpa Tokopedia tersebut.
"Walau kita gak bisa menyalahkan (Tokopedia) 100%, karena udah confirm secara teori oleh semua pakar security dunia memang tidak ada sistem yang 100% aman," ujar Ruby. "Tapi yang bisa dilakukan adalah monitoring dan selalu update sistem keamanan secara optimal."
Dengan sistem keamanan berstandar tinggi dan berlapis, menurut Ruby, ketika terjadi peretasan, insiden tersebut bisa langsung diketahui dan pemilik platform bisa memitigasi risiko yang terjadi. "Kalau bisa tahu insiden ini lebih cepat, bisa meminimalkan. Mungkin data yang bocor bisa lebih sedikit," jelas Ruby.
"Atau mungkin sebelum viral di internet, pemilik platform bisa minta pengguna ganti password," lanjutnya. "Memang gak bisa zero accident, tapi bisa meminimalkan dan mitigasi dengan meminimalkan risiko yang terjadi."
Dari sisi pengguna, kita memang tidak bisa melihat apakah sebuah platform sudah menerapkan standar keamanan tinggi atau belum. Tapi paling tidak, pengguna bisa melihatnya dari kompleksitas keamanannya.
"Misalnya dari kompleksitas permintaan untuk password-nya apakah harus disertai kombinasi huruf, angka atau karakter, berarti memang dia mau mengamankan platformnya," paparnya. "Lalu pakai 2FA (two factor authentication), OTP (one time password) access dan lapisan keamanan lainnya."
Dari kasus ini, Ruby menilai lapisan keamanan Tokopedia belum maksimal. Meskipun sudah mengenkripsi password, masih diperlukan teknik lain agar data lain milik pengguna tidak mudah dicuri peretas bahkan disebar dan bisa didownload secara bebas. "Sangat penting menggunakan teknik keamanan tambahan lain dan tidak hanya bergantung pada satu teknik pengamanan saja, hanya enkripsi password itu tadi," ujarnya.
Meski password tidak bisa diakses, dengan berbekal informasi data lain yang bocor berupa nama lengkap, nama akun, e-mail, tanggal lahir, dan nomor ponsel, pelaku kejahatan bisa menggunakannya untuk peretasan lain dan social engineering. "Intinya, dengan data lain yang didapat, walaupun tanpa password yang bisa dibaca, itu sebuah kerentanan nyata buat pengguna karena bisa dipakai untuk yang lain-lain," jelasnya.
Ruby juga mengingatkan bahwa keamanan tidak selalu berbanding lurus dengan kenyamanan. Semakin ribet dan berlapis keamanannya, maka akan lebih aman. "Enkripsi e-mail dan lain-lain selain password itu akan lebih lama prosesnya, tingkat keamanannya tinggi, tapi sebanding dengan keamanannya," pungla snya.
(wk/nidy)
