Belajar dari Tokopedia: Cara Mencegah Kebocoran Data Virtual

Bulan Maret 2020, publik digemparkan dengan kebocoran data salah satu marketplace terkemuka di Indonesia, Tokopedia. Tak tanggung-tanggung ada 15 juta pengguna yang datanya disebarkan di forum online, bahkan diperkirakan masih banyak lagi. Data yang dibocorkan termasuk hash nama pengguna, e-mail, hash password yang tersimpan di dalam sebuah file database PostgreSQL. Selain itu, data yang diretas juga mencakup tanggal lahir, kode aktivasi e-mail, kode reset password, detail lokasi, ID messenger, hobi, pendidikan, waktu pembuatan akun hingga waktu terakhir log-in. Meski demikian, data tersebut masih terlindungi dengan kode spesifik “salt” yang mengcover sandi pengguna dengan algoritma. Belum terlacaknya kode tersebut membuat hacker membutuhkan waktu lebih lama untuk mengenkripsi informasi dan sandi pengguna. 

Pertama kali dibeberkan ke publik oleh akun @underthebreach, kejadian ini telah dikonfirmasi sendiri oleh pihak Tokopedia. Tokopedia menjamin sandi pengguna masih aman karena adanya kode salt, namun untuk mengantisipasi kejahatan yang lebih jauh, pengguna diminta mengubah password akun dan mencopot layanan keuangan yang terhubung dengan akun Tokopedia.

Bisnis e-commerce di Indonesia memang mengalami perkembangan pesat, meski begitu kenaikan ini juga disertai dengan meningkatnya resiko peretasan data siber. Berdasarkan riset yang ditulis Yeo Siang Tiong, General Manager Kaspersky wilayah Asia Tenggara, para pembuat keputusan bisnis TI dari wilayah tersebut mengakui kehilangan rata-rata US$1,10 juta karena ancaman virtual ini. Sebagian besar bisnis di Asia Tenggara yang mengalami pelanggaran data (53%) juga membayar kompensasi kepada klien atau pelanggan, mengalami masalah dengan menarik pelanggan baru (51%), dikenai penalti atau denda (41%), dan kehilangan beberapa mitra bisnis (30%).

Hal yang Perlu diterapkan Perusahaan untuk Mencegah Kebocoran Data Pengguna

Untuk perusahaan besar maupun kecil, berikut adalah hal-hal yang dapat diterapkan untuk mencegah terjadinya kebobolan data.

1. Menggunakan Perangkat Lunak Resmi dan Terpercaya

Perusahaan perlu menggunakan perangkat lunak berlisensi yang diambil dari situs atau sumber resmi untuk menghindari virus dan malware lainnya yang berpotensi pada kebocoran data. Jika menggunakan layanan penyimpanan, perusahaan juga perlu mencari cloud terpercaya yang memiliki sistem otentifikasi akurat dan kredibel serta tidak membaginya dengan pihak ketiga yang tidak dipercaya. 

2. Edukasi Sumber Daya Manusia tentang Keamanan Siber

Pelatihan dan edukasi adalah komponen utama yang sangat penting untuk menjaga keamanan data. Basic yang perlu diajarkan adalah mengenali situs web yang “mencurigakan” sehingga bisa tahu kapan harus menghindari atau tidak membukanya. Selain itu juga hindari menyimpan file dari situs potensial tersebut. 

3. Backup dan Manajemen Informasi

Selain untuk pencegahan, langkah ini tentunya sangat berguna ketika breach atau kebocoran data telah terjadi. Selalu siapkan backup atau salinan untuk setiap data yang tersimpan dan lakukan pembaruan atau peralatan dan aplikasi secara berkala supaya proteksi semakin terjamin dan memperkecil celah hacker untuk menyusupi data. Pusat Operasi Keamanan (SOC) juga dapat dimanfaatkan oleh perusahaan e-commerce berskala besar yang menangani jutaan data. Nantinya mereka akan memberikan insight mengenai ancaman, alat, teknik terkini yang digunakan oleh pelaku kejahatan siber. Perusahaan juga bisa menjaga informasi dengan menerapkan Sistem Manajemen Keamanan Informasi (SMKI). SMKI merupakan bagian dari sistem manajemen dalam suatu organisasi yang bertujuan untuk membangun, mengimplementasikan, mengoperasikan, memantau, memelihara, dan meningkatkan keamanan informasi. Tercatat ada 159 organisasi di Indonesia yang telah menerapkan standar ini.

Cara Melindungi Data Pribadi secara Mandiri

Tak hanya perusahaan, tentu setiap individu dapat berkontribusi mencegah penyebaran data dengan memproteksi data pribadinya sendiri. Ini dia beberapa langkah yang bisa kamu terapkan secara mandiri:

1. Selalu Waspada terhadap segala bentuk kebocoran: Phising, “Free Access”, dan Situs Mencurigakan.

Sebetulnya, kunci utama untuk perlindungan data secara mandiri maupun bagi perusahaan berakar pada kewaspadaan. Kebocoran biasanya berawal dari hal-hal kecil yang mungkin tidak kita sadari lho, mulai dari sembarangan mengakses Wi-fi gratis, membuka tautan di media sosial atau e-mail, bahkan hanya mengakses suatu situs tertentu, lho. Perlu dipastikan bahwa sumber, tautan, atau link terkait berasal dari institusi resmi. Kalau perlu, googling dan cari tahu dulu sebelum mengakses lebih lanjut. Untuk mengenali situs yang aman, periksalah apakah ada gambar gembok di bagian kiri atas browser Anda. Situs yang aman juga biasanya dimulai dengan https://.

2. Jaga data pribadi

Perlakukan data pribadi virtual seperti saat kita berkomunikasi dengan orang asing secara langsung. Jangan mudah percaya dan memberikan informasi pribadi begitu saja dalam aplikasi percakapan digital.

3. Menggunakan password berbeda untuk setiap akun

Sebagai orang yang mudah lupa, seringkali kita memilih untuk menggunakan password yang “seragam” untuk setiap akun yang kita miliki. Namun, ada baiknya jika kita memilih password berbeda untuk menghindari kebocoran data, lho. Dengan begitu, jika satu akun diretas, akun lain masih bisa terlindungi. Penting juga memilih password rumit yang terdiri dari huruf, angka, dan tanda baca serta fitur enkripsi password.

4. Log out

Log Out juga penting banget untuk dilakukan, apalagi jika menyangkut layanan keuangan. Akun yang belum dilog-out akan sangat mudah disusupi oleh hacker.

5. Pakai Perlindungan Tambahan

PIN pada ponsel adalah salah satu proteksi privasi yang penting nih. Hal ini akan membuat data pada ponselmu aman dan tidak sembarangan terbuka jika suatu saat ponselmu hilang atau tidak berada bersamamu. Jika sering membuka ponsel di tempat umum, bisa juga menggelapkan layar atau memasang filter layar gelap agar data tidak mudah terbaca orang sekitar.

6. Perhatikan Application Permission

Meski tampaknya sepele, ternyata ini salah satu cara hacker menyusupi data pada perangkat tanpa sepengetahuan kita. Untuk fintech, pastikan aplikasi yang Anda gunakan sudah berizin dari pihak yang berwenang, dalam hal ini Bank Indonesia (BI) dan Otoritas Jasa Keuangan (OJK).

7. Rahasiakan Kode OTP

Kode ini sangat penting karena mengatur akses terhadap akun-akunmu lho. Jangan sembarangan memberikannya apalagi jika hanya lewat pesan singkat yang tidak jelas siapa pengirimnya.

8. Update Software

Seperti pada perusahaan, setiap perangkat kita pasti memiliki permintaan pembaruan secara berkala. Jangan menundanya, fitur-fitur tersebut akan memaksimalkan proteksi data dari kebocoran yang mungkin terjadi.

Dari langkah-langkah di atas, mana saja yang sudah kamu terapkan, 101 Wired People? Jangan cuma mengandalkan pengamanan data dari perusahaan atau layanan publik, kamu juga bisa memulainya dari diri sendiri lho. Nggak ada ruginya, kok.