Pada bulan Mei 2020 lalu, para pengguna layanan e-commerce Tokopedia dihebohkan dengan adanya kabar kebocoran 91 juta data pengguna. Data ini dijual dengan harga US$5.000 atau setara Rp74,3 juta pada situs jual beli dark web.
Menanggapi kasus ini, Tokopedia kemudian menggandeng Kementerian Komunikasi dan Informatika (Kominfo) serta Badan Siber dan Sandi Negara (BSSN) untuk melakukan investigasi lebih lanjut. Meski demikian, setelah lebih dari 1 bulan berlalu, hasil investigasi yang dilakukan belum diungkap.
Alih-alih hasil investigasi, justru muncul tautan berisi 91 juta data pengguna Tokopedia yang dapat diunduh secara gratis. Informasi yang dapat diunduh ini berupa nama lengkap, alamat e-mail, serta nomor telepon.
Pratama Persadha, Chairman Communication and Information System Security Research (CISSReC), mengatakan bahwa tautan ini dibagikan oleh salah satu anggota grup terkait keamanan siber di Facebook. Grup ini beranggotakan 15 ribu orang.
Pada tanggal 3 Juli 2020, sehari sebelum tautan tersebut diunggah ke Facebook, akun @Cellibis menyebarkan tautan tersebut pada situs Raidsforum.
“Akun tersebut membagikan secara hampir cuma-cuma di Raidforums yang sebelumnya dia dapatkan dari cara membeli data tersebut di darkweb sebesar 5.000 US Dollar (Rp 72,6 juta),” kata Pratama keterangan tertulisnya ke media pada Minggu (5/7).
Data ini tersimpan pada server yang berbasis di Amerika Serikat, sehingga pihak yang hendak mengunduh data Tokopedia tersebut pun harus menggunakan server yang juga berbasis di sana.
Hingga tanggal 5 Juli 2020, terhitung sudah terdapat 58 orang yang mengunduh file tersebut. Saat ini tautan sudah tidak dapat ditemukan baik di Raidforums atau pun di grup Facebook.
“Link yang dijanjikan akan dihapus 5 hari lagi, ternyata sudah tidak aktif, alias menghilang,” kata Pratama.
Pratama menilai bahwa pihak Tokopedia sebagai penyelenggara sistem harus bertanggung jawab atas kasus kebocoran ini. Kejadian ini juga membuktikan bahwa keberadaan undang-undang perlindungan data pribadi semakin dibutuhkan agar masyarakat memiliki perlindungan keamanan siber.
“Ini membuktikan betapa lemahnya regulasi perundang-undangan Indonesia yang menaungi wilayah siber dan data pribadi. Sekali lagi, RUU PDP harus segera diselesaikan dan wajib mengatur sanksi, serta standar teknologi yang dijalankan penyelenggara sistem elektronik,” jelas Pratama.