Beberapa hari yang lalu, Penulis mendapatkan pengalaman tidak menyenangkan dari salah satu situs e-commerce terbesar di Indonesia. Tokopedia. Yang dimaksud “pengalaman tidak menyenangkan” ini bukan penipuan atau apa, melainkan terkena hack. Tapi untunglah, sepertinya hack yang saya rasakan ini masih tergolong low-level. Bagaimana bisa?
Sejujurnya, Penulis tidak tahu kapan pertama kali Si Hacker mendapatkan akses ke akun Penulis. Ini karena Penulis tidak membuka toko di Tokopedia. Toko pada akun Penulis digunakan untuk menjual barang-barang bekas Penulis saja. Selain itu, Penulis tidak mendaftar langsung di Tokopedia, melainkan menggunakan akun Google untuk masuk. Oleh karena itu, Penulis merasa sangat kaget dan panik karena Penulis takut sebenarnya akun Google Penulis yang teretas, dan di masa-masa ini, siapa sih yang tidak takut akun Gmail-nya teretas?
Anyway, Penulis tahu bahwa terjadi indikasi hacking karena tiba-tiba Penulis mendapatkan email yang menyatakan bahwa pembayaran atas suatu pesanan berhasil. Penulis sadar bahwa belakangan ini Penulis tidak membeli apa-apa dari Tokopedia, sehingga Penulis merasa aneh. Setelah melihat isi pesanan, Penulis semakin yakin bahwa ini bukan ulah Penulis. Parahnya, pesanan menggunakan saldo Tokopedia untuk membayar pesanan tersebut, ditujukan ke alamat yang tidak pernah Penulis lihat sebelumnya. Memang di sana terdapat nomor telepon, tapi Penulis yakin bahwa seorang hacker tidak mungkin sebodoh itu menunjukkan informasi pribadinya ke korbannya, bukan?
Untungnya, Penjual mau dan segera membatalkan pesanan liar yang tidak dilakukan oleh Penulis
Sebagai langkah awal, Penulis segera melaporkan hal ini pada pihak Customer Care Tokopedia, baik melalui Twitter, Facebook, maupun fitur Layanan Pengguna milik Tokopedia sendiri. Selain itu, Penulis juga mengirim pesan kepada toko yang dipesan bahwa pesanan tersebut adalah hasil hack dan bahwa Penulis meminta toko yang bersangkutan untuk membatalkan pesanan tersebut. Sambil menunggu tanggapan dari pihak-pihak tersebut, Penulis mempunyai waktu untuk panik.
Merasa panik dan takut akun Google-nya teretas, Penulis segera menuju ke bagian account security di konfigurasi akun Google. Bagian ini sangat berguna untuk mengetahui aktivitas Google account Anda, diakses dari mana saja, telah digunakan di gadget mana saja, dan kapan terjadi aktivitas tersebut. Selain itu, bagian ini juga memungkinkan Anda untuk keluar dari semua sesi, keluar dari semua device yang ter-sign-in. Penulis memanfaatkan kedua fitur tersebut dan bahkan mengganti password Penulis. Untungnya, semua kondisi akun Google normal dan Penulis dapat memastikan bahwa Penulis mengenali semua aktivitas tersebut. Setidaknya, Penulis lega, karena sepertinya bukan akun Google Penulis yang teretas.
Tampilan Google Account Security
Sekitar 30 menit kemudian, Penulis mendapatkan tanggapan dari Tokopedia dan toko. Pihak toko bersedia membatalkan pesanannya dan saldo saya berhasil kembali, sementara pihak Tokopedia menyarankan bahwa Penulis mengganti dan mengubah kata sandinya. Penulis mengikuti saran Tokopedia dan merasa lega bahwa masalah telah selesai.
Namun ternyata, masalah belum selesai. Setelah mendapatkan ketenangan selama kurang lebih 3 jam, Penulis mendapatkan email baru, dari Tokopedia, berisi pesanan lagi. Kali ini, Si Hacker lebih membuat penulis jengkel, karena Si Hacker memesan sebuah alat kontrasepsi yang dikirimkan ke alamat Penulis dengan keterangan pemesanan yang Penulis rasa tidak pantas, menggunakan saldo Tokopedia akun penulis juga. Penulis kemudian mengulangi langkah yang sama, kemudian Penulis tersadar:
“Percuma saja mengubah password apabila dalam browser Si Hacker akun Penulis masih dalam keadaan logged in, bukan?”
Pesanan ke-2 yang lebih ngawur. Untungnya pihak Penjual juga bersedia membatalkan pesanan tersebut.
Mengingat hal tersebut, Penulis cepat-cepat meminta melalui akun Twitter Customer Care Tokopedia untuk memintanya me-log-out-kan akun saya dari semua sesi seperti fitur yang disediakan Google. Penulis yakin bahwa Tokopedia bisa melakukan hal tersebut. Mengapa? Karena Penulis sedang berkuliah di jurusan Sistem Informasi Bisnis, sehingga Penulis sedikit banyak tahu tentang penyusunan basis-basis data di situs-situs seperti Tokopedia ini dan biasanya, situs-situs seperti ini akan menyimpan aktivitas akun pengguna seperti IP login, Session ID, dan sebagainya untuk alasan keamanan, dan untuk mempermudah menemukan indikasi adanya aktivitas hacking.
Tokopedia untungnya bisa mengunci akun Penulis dengan status banned. Tidak masalah, karena status banned dapat terangkat.
Untungnya, berkat respon cepat dari Tokopedia, akhirnya akun saya berhasil “dikeluarkan”. Label yang digunakan memang agak tidak enak terdengar (banned), namun setidaknya akun Penulis telah berhasil “diselamatkan”. Penulis pun telah mengkonfirmasi hal ini, dengan hilangnya akun Penulis dari aplikasi yang terpasang pada smartphone Penulis. Untuk mengembalikan akses ke akun, Tokopedia meminta Penulis untuk memberikan email yang belum pernah terdaftar di Tokopedia (sebagai ganti email utama akun Penulis) serta mengirimkan foto KTP dan buku tabungan yang pernah digunakan untuk bertransaksi di Tokopedia sebagai verifikasi bahwa Penulislah yang memang benar-benar memiliki akun tersebut.
Setelah menyelesaikan proses tersebut, akhirnya Penulis bisa kembali log in ke Tokopedia, dan segera mencairkan semua saldo Tokopedia agar tidak lagi disalahgunakan. Hingga tulisan ini diterbitkan (kurang lebih sudah 3 hari lamanya), Penulis tidak lagi menemukan kendala yang sama. Semoga saja pengalaman Penulis ini dapat menjadi pelajaran tidak hanya bagi Penulis, namun bagi para Pembaca sekalian.
Kasus Lebih Parah
Penasaran dengan hal ini, sembari menunggu tanggapan dari Customer Care Tokopedia, Penulis mencoba iseng mencari-cari apakah ada kasus sama seperti yang Penulis alami sebelumnya. Ternyata memang ada, dan lebih parah dari yang Penulis alami (makanya Penulis berani menyebut apa yang dialami Penulis masih bersifat low level).
Ditilik dari situs http://laporpolisi.com, ternyata ada yang tiba-tiba saldo Tokopedianya habis digunakan untuk membeli pulsa. Meskipun nominalnya dapat dikatakan kecil (rata-rata Rp50.000,00) namun berbeda dengan pemesanan biasa, pemesanan pulsa bersifat instan dan tidak bisa dibatalkan, sehingga tidak ada lagi peluang bagi saldo untuk kembali. Saya sendiri juga ragu pihak Tokopedia akan mau mengembalikan, karena mana mungkin pulsa bisa ditarik kembali? Meskipun hal tersebut bukan kesalahan kita.
Laporan pertama adalah “dirampoknya” saldo salah seorang pengguna sebesar Rp50.000,-
Salah seorang pengguna mengomentari cerita “perampokan saldo” lainnya, dengan kasus yang lebih fantastis.
Cerita lain menyebutkan bahwa ada yang pernah menggunakan akunnya untuk membeli berbagai alat-alat elektronik seperti laptop dan kamera, dan juga memperpanjang fitur “Gold Merchant” akun yang bukan miliknya. Bukankah hal ini sangat memprihatinkan? Orang-orang pergi ke Tokopedia untuk mencari solusi jual beli yang aman dan terpercaya, namun malah mengalami kasus seperti ini.
Tips bagi Pengguna dan Saran untuk Tokopedia
Menyalahkan salah satu pihak atas terjadinya kasus-kasus seperti ini tidak akan menyelesaikan masalah. Yang bisa disalahkan yaitu hacker (atau biasa disebut cracker, yang artinya melakukan peretasan untuk tujuan merusak. Penulis menggunakan kata hacker untuk memudahkan Pembaca) yang tidak bertanggung jawab. Sebagai pengguna (yang tentunya mayoritas tidak memahami teknologi secara mendalam), kita perlu senantiasa waspada dan mawas diri.
Jadi, bagaimana kita bisa mawas diri? Penulis memiliki beberapa tips sebagai berikut:
- Selalu Log Out dan Amankan Akun Anda
- Langkah pertama dan utama untuk mengamankan akun Anda adalah selalu lakukan log out segera setelah Anda selesai menggunakan Tokopedia. Selain itu, jangan pernah sekali-kali memberitahukan detil akun Anda seperti password Anda, bahkan jika diminta oleh Tokopedia sendiri (bahkan, Anda perlu curiga jika Tokopedia meminta password Anda, karena Penulis yakin mereka tidak akan pernah membutuhkannya).
- Email Aktif dan Benar
- Senantiasa pastikan email Anda aktif, benar, dan selalu menerima notifikasi dari Tokopedia. Hal ini diperlukan agar Anda segera tahu apabila ada pihak tidak bertanggungjawab yang menggunakan akun Anda
- Kosongkan Saldo
- Kosongkan saldo Tokopedia Anda. Apabila Anda membuka toko di Tokopedia, pembayaran akan dilakukan via saldo Tokopedia. Anda dapat mencairkannya, atau menggunakannya untuk membeli barang-barang di Tokopedia.
- Karena rawan digunakan oleh pihak-pihak yang tidak bertanggungjawab, Penulis menyarankan Anda untuk segera mencairkan semua dana saldo Tokopedia Anda. Hal ini untuk mencegah terjadinya para hacker menggunakan saldo Tokopedia Anda untuk membeli barang-barang yang ia inginkan. Lagipula, Penulis berpikir bahwa tidak ada gunanya mengumpulkan saldo Tokopedia, karena toh pada akhirnya Anda bisa bertransaksi tanpa harus menggunakan saldo, bukan?
- Minta Pemblokiran Akun / Ban
- Jika akun Anda terlanjur telah terbajak, segera mintalah pemblokiran akun pada Customer Care Tokopedia. Percuma saja Anda mengganti password Anda, karena Si Hacker kemungkinan besar masih memiliki akses ke akun Anda. Melakukan pemblokiran akan secara otomatis mengeluarkan akun Anda dari semua sesi yang sedang aktif.
- Jangan khawatir dan ragu melakukan hal ini, karena blokir akun bisa diangkat kembali.
- Amankan Kartu Kredit Anda
- Penulis tidak ingat apakah Tokopedia menyediakan fitur ini, namun dengan kondisi keamanan yang tidak jelas ini, Penulis sangat menyarankan agar tidak menggunakan fitur ini. Mengapa? Karena untuk alasan keamanan. Memang nyaman, Anda tidak perlu mengetikkan detil kartu Anda, namun jika akun Anda bocor, begitu juga informasi kartu kredit Anda. Anda tentu tidak ingin hal tersebut terjadi, bukan?
- Pastikan Komputer Anda “Bersih”
- Selalu gunakan antivirus yang senantiasa ter-update. Ini karena terdapat berbagai varian malware (biasa disebut virus komputer oleh kalangan awam) yang dapat mencuri informasi Anda dari komputer. “Better safe than sorry”, adalah pedoman Penulis ketika berurusan dengan hal-hal seperti ini.
Sementara untuk Tokopedia, Penulis menyarankan hal-hal berikut ini:
- Gunakan OTP (One Time Password)
- Tokopedia memiliki fitur OTP untuk memastikan bahwa yang sedang log in adalah pemilik akun sesungguhnya. Sayangnya, Penulis tidak bisa memastikan kapan fitur ini aktif karena di hadapan Penulis, kadang fitur ini muncul, kadang tidak. Penulis menyarankan agar Tokopedia senantiasa menggunakan OTP ketika pengguna melakukan log in. Memang sedikit merepotkan, namun ini tentu akan membuat Tokopedia semakin aman.
- Selain itu, Penulis menyarankan agar transaksi-transaksi yang bersifat instan dan non-cancellable (tidak bisa dibatalkan) juga menggunakan kode OTP. Hal ini untuk menghindari perampokan saldo yang sangat menjengkelkan para pengguna.
- Membekali Staf Customer Service Tokopedia dengan pengalaman-pengalaman korban hacking
- Penulis menilai Customer Care Tokopedia cukup cepat dalam menjawab masalah pengguna, namun Penulis berharap Tokopedia dapat meningkatkan pengetahuan Customer Care-nya tentang pengalaman-pengalaman hacking seperti ini. Ini karena banyaknya pengguna yang mendapatkan jawaban “mengganti email dan password” yang menurut Penulis sia-sia saja karena hacker sudah mendapatkan akses ke akun yang telah terbajak.
Karena Penulis tidak memiliki keahlian di bidang keamanan jaringan, Penulis tidak bisa berpendapat tentang keamanan Tokopedia dari segi sistemnya. Namun Penulis berharap Tokopedia dapat menjadikan kejadian ini dan kejadian-kejadian serupa lainnya sebagai wake up call untuk meningkatkan keamanan sistemnya, dan dapat membuat Tokopedia semakin nyaman tidak hanya bagi pembeli, namun juga penjual.
Sekian berbagi pengalaman dari Penulis. Semoga para Pembaca sekalian mendapatkan pelajaran dan hikmah dari kejadian ini. Seperti biasa, terima kasih telah berkunjung dan membaca, dan semoga hari Anda menyenangkan! 😀
Pembayaran Pulsa bersifat Direct Payment, Pulsa masuk tidak bisa ditarik lagi, makanya tidak ditolong lagi, apalagi masalah Hack adalah kesalahan pengguna, Bukan Tokopedia, karena masalah Hack menggunakan Teknik Pishing (Jebakan), jadi jika ada yg kena ya itu kesalahan pengguna yg sembarangan klik link. Padahal pihak Tokopedia dan seluruh Online Transaction WAJIB pakai SSL Certificate (HTTPS). Hanya saja memang HTTPS nya tidak sebaik Internet Banking yang mencantumkan nama perusahaan di Address Bar.
Para pengguna Online Transaction WAJIB waspada dengan aktivitas phising, karena cuma itu cara hacker amatir melakukan pencurian data login pelanggan.
Hai, Lukman. Terima kasih atas komentarnya.
Memang benar pengguna wajib melindungi dirinya sendiri dari aktivitias phishing, salah satunya dengan memastikan bahwa situs e-commerce’nya memiliki HTTPS. Saya juga termasuk salah seorang yang teliti memperhatikan HTTPS dan cukup “paranoid” sebelum berbelanja online dan tidak asal klik link-link yang tidak jelas. Oleh karena itu saya juga kaget tiba-tiba dikirimi pesanan yang tidak saya buat. Untungnya, pesanan tersebut tidak menggunakan kartu kredit saya. Ternyata tidak sedikit juga yang mengalami nasib yang sama seperti saya. Post ini saya buat sebagai informasi untuk berhati-hati.
Lalu mengenai pembelian pulsa, yang saya maksud adalah suatu bentuk verifikasi bahwa memang yang membeli adalah pemilik akun sebelum pembayaran dilaksanakan. Memang terkesan lebih ruwet dan lama, tapi menurut saya hal ini lebih memberikan rasa aman.