Peristiwa Hukum

Perusahaan startup juga pernah menjadi korban kejahatan siber. Tokopedia, contohnya, mengalami musibah ini pada tahun 2020. Sang pelaku yang memiliki nama samaran ShinyHunters membocorkan sebanyak 91.000.000 data pengguna Tokopedia dan 7.000.000 data seller.

Tidak diketahui dengan pasti metode serangan yang dilancarkan ShinyHunters, tetapi para pakar memperkirakan bahwa peretas memanfaatkan kerentanan dalam sistem Cloud milik Tokopedia. ShinyHunters juga diduga melancarkan serangan SQL injection yang dinilai kompleks sehingga terjadi kebocoran data dalam jumlah masif. Informasi tersebut kemudian dijual dengan harga yang fantastis.

Tokopedia tentu tidak tinggal diam. Mereka memastikan bahwa data pengguna tetap aman karena sudah dienkripsi menjadi kode rahasia yang tidak bisa dibaca oleh peretas. Aksi dari pihak Tokopedia ini membuat para peretas untuk mengambil data ilegal dengan upaya lainnya, salah satunya adalah melancarkan serangan phishing melalui email ke pengguna. Lagi-lagi Tokopedia langsung beraksi dengan memberikan imbauan untuk mengganti password secara berkala.

Analisis Hukum

Dalam kasus ini, peretas diduga memanfaatkan kerentanan dalam sistem cloud Tokopedia dan melancarkan serangan SQL Injection. Metode ini memungkinkan peretas memasukkan kode berbahaya ke dalam database melalui input yang tidak diamankan dengan baik, sehingga bisa mendapatkan akses ke informasi sensitif, seperti data pengguna dan data penjual.

Tindakan yang Melanggar: Akses ilegal ke sistem elektronik. Berdasarkan dugaan metode yang digunakan, peretas telah melakukan akses tanpa izin ke dalam sistem informasi Tokopedia

Kebocoran dan Penjualan Data: ShinyHunters kemudian menjual data pengguna dan penjual yang didapatkan dalam serangan ini di pasar gelap. Penjualan data ini termasuk tindakan yang melanggar hukum, karena data pribadi dilindungi di bawah hukum perlindungan data di Indonesia

Berikut undang-undang dan pasal-pasal yang berkaitan dengan kasus tersebut yaitu:

Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (ITE)

Pasal 30: “Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik milik orang lain dengan cara apa pun.”

Pasal 32: “Setiap orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun melakukan pemindahan, pengalihan, pengambilan, pemindahan, atau penggunaan informasi elektronik dan/atau dokumen elektronik milik orang lain.”

Pasal 48: “Setiap pelanggaran terkait akses ilegal dan pemanfaatan data dapat dikenakan pidana penjara paling lama 8 tahun dan/atau denda paling banyak Rp2 miliar.”

Tokopedia berupaya memitigasi kerugian dengan mengklaim bahwa data pengguna telah dienkripsi, sehingga tidak bisa digunakan secara langsung oleh peretas. Selain itu, Tokopedia mengeluarkan imbauan kepada pengguna untuk mengganti kata sandi secara berkala sebagai langkah pengamanan tambahan.

Kesimpulan

Kasus kebocoran data Tokopedia yang dilakukan oleh ShinyHunters melibatkan beberapa pelanggaran serius terhadap sistem informasi, perlindungan data pribadi, dan penipuan melalui phishing. Tokopedia sebagai perusahaan juga telah melakukan langkah-langkah mitigasi untuk meminimalisir kerugian, namun tetap perlu adanya penegakan hukum lebih lanjut agar pelaku mendapatkan sanksi yang sesuai. Pasal-pasal dari UU ITE dan UU PDP menjadi dasar hukum utama untuk mengatasi dan mengadili pelaku dalam kasus seperti ini.

Saran

Berdasarkan kasus peretasan atau pembobolan data Tokopedia tahun 2020, saran yang dapat diambil oleh Tokopedia dan perusahaan startup lainnya untuk mencegah serta menangani insiden serupa yaitu melalui penguatan keamanan, edukasi, penerapan standar perlindungan data, serta respons insiden yang proaktif, Tokopedia dan perusahaan startup lainnya dapat memperkuat sistem mereka terhadap ancaman siber di masa mendatang. Langkah-langkah ini penting tidak hanya untuk menjaga kepercayaan pengguna tetapi juga untuk mematuhi peraturan yang berlaku terkait keamanan dan perlindungan data.