13 Juta Akun Bukalapak Diretas, Kurang Penetration Test?

[ROUND 4] List of breached sites:

1) Youthmanual — Indonesian college and career platform

2) GameSalad — Online learning platform

3) Bukalapak — Online Shopping Site

4) Lifebear — Japanese Online Notebook

5) EstanteVirtual — Online Bookstore

6) Coubic — Appointment Scheduling

— The Hacker News (@TheHackersNews) March 17, 2019

Researcher IT Security, Didik Irawan menilai peretasan yang terjadi pada Bukalapak dan Youthmanual terjadi karena minimnya Penetration Test pada situs buatan mereka. Secara sederhana, Penetration Test dilakukan untuk mengidentifikasi dan mengeksploitasi kerentanan keamanan pada sistem dan aplikasi sebuah perusahaan. Jadi temuan yang teridentifikasi akan dijadikan perbaikan untuk meningkatkan keamanan aplikasi.

"Dengan adanya insiden ini, keamanan data privasi mulai dianggap penting dan harus segera dibenahi," kata Didik saat berbincang dengan era.id, Senin (18/3/2019).

Didik menyampaikan Peneration Test atau Pentest sangat penting dilakukan, terlebih bagi situs perusahaan startup semacam Bukalapak. Monitoring berkala juga menjadi awarness sekalipun perusahaan itu telah mencapai level unicorn. 

"Pentest itu penting, sekalipun perusahaan itu startup unicorn karena ini berhubungan dengan transaksi keuangan yang sudah diatur standartnya dalam PCI DSS (The Payment Card Industry Data Security Standard). Sehingga ketika situs itu melakukan updating baru bisa segera membenahi infrastruktur keamanannya," jelas pria yang juga duduk sebagai Direktur PT Digital Sekuriti Indonesia.

"Mungkin ini ada kealfaan dan kurang awareness pada saat updating. Apalagi situs startup saat ini dibangun secara kompleks dan penuh fitur. Jadi ada batasan tak terlihat dari platform-nya yang cukup tricky untuk ruang masalah di kemudian hari," tambahnya.

Selain itu kata Didik, tak ada data yang tidak penting. Apalagi sampai sebuah situs diretas dan diperjualbelikan. 

"Data yang diunggah ke internet itu enggak ada yang tidak penting. Semuanya penting dan bisa salahgunakan, apalagi bagi para hacker dan pihak-pihak tak bertanggung jawab," ucap Didik.

Melalui pernyataan resminya, Bukalapak mengakui jika ada upaya-upaya peretasan pada platformnya sejak beberapa waktu lalu. Bukalapak memastikan tidak ada data penting seperti user password, finansial, atau informasi pribadi lain yang dicuri.

"Kami selalu meningkatkan sistem keamanan di Bukalapak, demi memastikan keamanan dan kenyamanan para pengguna Bukalapak, dan memastikan data-data penting pengguna tidak disalahgunakan. Upaya peretasan seperti ini memang sangat berpotensi terjadi di industri digital," ujar Intan Wibisono Head of Corporate Communications dalam siaran persnya.

Untuk meningkatkan keamanan akun, Intan mengimbau agar para pengguna Bukalapak rajin mengganti password secara berkala serta mengaktifkan Two Factor Authentification (TFA). TFA merupakan fitur yang diperuntukkan untuk mencegah penggunaan atau penyalahgunaan data penting dari device yang tidak dikenal.

"Fitur FTA diperuntukan mencegah jika ada penggunaan atau penyalahgunaan data penting dari device yang tidak dikenali. Kami juga menyarankan menjaga kerahasiaan password dan menggunakan security guide yang sudah disediakan Bukalapak," kata Intan.