1. Startup

Pasca Isu Peretasan Data Bukalapak dan Youthmanual, Upaya yang Perlu Dilakukan

Perusahaan digital perlu mengevaluasi standardisasi berdasarkan ISO 27001 dan ISO 31000

Hari ini tersiar kabar mengenai peretasan data situs dengan basis pengguna yang besar. Dilansir The Hacker News, ada dua situs Indonesia turut terdampak, yakni Bukalapak dan Youthmanual. Diklaim setidaknya ada sekitar 13 juta record data pengguna Bukalapak (per Juli 2017) yang tercuri. Sementara untuk situs karier milenial Youthmanual data yang tercuri sekitar 1,12 juta record data (per Februari 2019).

Data-data tersebut kini diperjualbelikan melalui Dream Market atau dikenal sebagai pasar gelap di dunia maya -- memanfaatkan cryptocurrency sebagai alat tukar. Data yang diambil disebut meliputi nama pengguna, username, email, kata sandi yang terenkripsi dengan hash, dan detail pribadi lainnya.

Klarifikasi Bukalapak dan Youthmanual

Kami sudah mencoba mengonfirmasi langsung ke pihak Bukalapak maupun Youthmanual. Pihak Bukalapak membenarkan bahwa memang ada upaya peretasan situs dalam beberapa waktu lalu. Namun pihaknya memastikan tidak ada data penting seperti user password, informasi finansial, dan informasi pribadi yang didapatkan.

"Kami mengonfirmasi bahwa memang ada upaya untuk meretas Bukalapak beberapa waktu yang lalu, namun tidak ada data penting seperti user password, finansial atau informasi pribadi lainnya yang berhasil didapatkan. Kami selalu meningkatkan sistem keamanan di Bukalapak, demi memastikan keamanan dan kenyamanan para pengguna Bukalapak, dan memastikan data-data penting pengguna tidak disalahgunakan. Upaya peretasan seperti ini memang sangat berpotensi terjadi di industri digital," ujar Head of Corporate Communications Bukalapak Intan Wibisono.

Salah satu tindakan preventif yang disarankan pihak Bukalapak kepada pengguna ialah dengan melakukan penggantian kata sandi secara berkala dan mengaktifkan fitur Two-Factor Authentication (TFA).

Sementara kepada DailySocial pihak Youthmanual juga mengonfirmasi, telah terjadi upaya peretasan di dalam platformnya. Upaya represif yang dilakukan ialah dengan melakukan pengaturan ulang kata sandi seluruh pengguna.

"Sore ini, kami konfirmasi bahwa telah terjadi upaya peretasan namun Youthmanual telah melakukan pencegahan dengan me-reset password seluruh pengguna. Kami juga menghimbau seluruh pengguna untuk mengubah seluruh informasi password saat login kembali. Saat ini tim engineering Youthmanual melakukan audit dan evaluasi sistem secara komprehensif untuk memastikan sistem dan infrastruktur kami aman dibantu oleh praktisi-praktisi keamanan siber terbaik di regional," ujar Founder & CEO Youthmanual Rizky Muhammad.

Tindakan antisipasi

Menanggapi kejadian ini, kami mencoba menghubungi beberapa pakar keamanan siber, salah satunya Onno W. Purbo. Dalam keterangannya Onno mengatakan bahwa setidaknya ada empat hal yang perlu dilakukan oleh platform digital yang mendapati serangan hacker. Pertama harus dilakukan evaluasi keamanan secara komprehensif, dalam istilah teknis disebut dengan "penetration test", untuk memastikan celah-celah yang berhasil disusupi dapat segera ditambal.

Onno menyarankan perusahaan digital yang sudah memiliki basis pengguna besar perlu segera melakukan evaluasi prosedur, setidaknya hingga memenuhi ISO 27001 (standardisasi global sistem manajemen keamanan informasi) dan ISO 31000 (standardisasi global untuk manajemen risiko berkaitan dengan keamanan informasi).

Kegiatan pelatihan terhadap internal dan pengguna berkaitan dengan keamanan informasi juga dinilai dapat mulai dijadikan inisiatif rutin oleh perusahaan digital. Sebagai pangsa pasar internet terbesar di Asia Tenggara, memang peningkatan literasi digital untuk masyarakat masih menjadi pekerjaan rumah bagi para pihak. Idealnya industri juga turut serta dalam meningkatkan kapabilitas tersebut.

"Serangan yang banyak berhasil adalah pada titik-titik paling lemah pada sebuah sistem. Bisa dari sisi pengguna, kelalaian admin, dan lainnya," ujar Onno menerangkan asal serangan hacker bermula.