Beberapa waktu lalu salah satu perusahaan web perdagangan terbesar, eBay memerintahkan pengguna dan karyawan untuk mengubah passwordnya. Ini karena server eBay telah diretas. Ini menjadi aksi pencurian data terbesar tahun 2014.
Bagi pengguna eBay, apakah mengubah password saja sudah cukup? Atau Anda perlu aksi pengamanan lainnya? Karena eBay terintegrasi dengan PayPal, sepertinya Anda perlu melakukan pengamanan yang lebih jauh.
Penjelasan eBay mengenai apa yang terjadi
Di blog eBay mengatakan “eBay Inc. To Ask eBay User To Change Passwords” pada Rabu 21 May 2014. Kemudian tidak lama berselang setelah pengumuman tersebut, salah satu media online Amerika membuat berita kalau perusahaan dagang online tersebut terkena cyberattack yang membobol keamanan mereka. Pembobol berhasil mencuri password dan non-finansial data.
Kemudian penjelasan selanjutnya dari perusahaan kalau mereka tidak menemukan bukti kalau serangan ini mengganggu kartu kredit dan keuangan lainnya. Namun anehnya postingan ini bukan dari eBay Inc, tetapi dari salah satu staff mereka. Serangan ini terjadi dari Februari hingga Maret dan berhasil mengambil data nama pengguna, password yang telah di enkripsi, alamat email, alamat asli, nomer telepon dan tanggal lahir.
eBay menegaskan kalau mereka serius menangani massalah ini. Mereka akan bekerja dengan pihak yang berwajib, ahli keamanan dan hukum untuk menyelidiki masalah ini.
Seberapa bahaya data eBay Anda?
eBay mendeteksi pembobolan keamanan ini sekitar dua minggu lalu. Mereka mengatakan ada pembobol masuk menggunakan akun karyawan eBay. Kemudian penydik eBay mengumumkan kalau yang diserang adalah data base eBay, tempat di mana personal data setiap pengguna di simpan.
Pada permasalahan ini tidak diketahui bagaimana persisnya akun karyawan eBay yang dijadikan pintu akses ke data base. Salah satu pernyataan adalah, karyawan tersebut terkena phishing. Dia mendapat email palsu yang memerintahkan untuk login dan mereset passwordnya di website yang terlihat meyakinkan. Tetapi ini seperti spekulasi. Bagaimana mungkin seorang karyawan eBay terjebak dengan teknik rendahan hacking. Kemungkinan terbesar sepertinya adalah, eBay di serang dari dalam.
Logikanya, ada lebih dari 145 juta akun di eBay yang dicuri datanya. Jika ini karena salah satu karyawannya, berarti ada satu karyawan yang memegang 145 juta akun pengguna. Dan bila memang ada, berarti dia bukan orang sembarangan, bagaimana mungkin orang yang bukan sembarangan bisa terjebak phishing?
Beberapa pernyataan eBay untuk meyakinkan pengguna:
- Akun eBay Anda aman
- Ditail akun eBay tidak terkena dan tetap aman
- Anda tidak memerlukan tindakan tambahan untuk melindungi informasi Anda
- Tidak perlu mengubah password Anda
Sementara itu, layanan perubahan sandi Passomatic melaporkan kalau semua partner mereka telah melakukan pembenahan termasuk eBay. Akankah Heartbleed menjadi jalan bagi eBay? Atau lebih memalukan lagi, akankah kerentanan OpenSSL menjadi gangguan yang sangat mahal bagi perusahaan dagang online?
Berurusan dengan pelanggaran keamanan
Hal yang paling memalukan dari kasus ini, eBay tidak dapat mendeteksi pembobolan dengan cepat, ini mengindikasikan kalau hacking yang dilakukan benar-benar di atas kemampuan pengamanan eBay. eBay juga ternyata tidak segera memberi tahu pengguna tentang masalah ini, hanya melalui jejaring sosial. Padahal eBay mengatakan akan memberi tahu secara personal melalu email.
Hal yang perlu Anda ketahui lainnya adalah, eBay Inc bukan hanya memiliki www.ebay.com dan variannya, tetapi mereka juga pemilik dari PayPal. Yang tak termaafkan, rilis terbatas oleh eBay seperti tak berdosa. Mereka mengklaim usaha mereka yang lain tidak terpengaruh akan hal ini. Ini bisa terbukti kalau mereka merilis ditail permasalahan ini. Dengan begitu, kita bisa yakin kalau eBay tau apa yang sedang terjadi.
Faktanya, pembobolan keamanan ini merupakan hal yang dahsyat. Volume dan kedalaman data yang dicuri dai akun yang belum pernah terjadi sebelumnya. Yang membuat keadaan menjadi lebih buruk, email phishing dilaporkan masuk ke hampir semua pengguna email (sepertinya berharap mendapatkan uang seperti cerita yang dibuat eBay).
Apakah kartu kredit Anda aman?
eBay memastikan kalau tidak ada data keuangan atau kartu kredit yang terganggu bila data yang dicuri hanya username, password dan alamat email. Ini upaya meminimalkan kemarahan pengguna. Katakanlah Anda ingin melihat ditail kartu eBay Anda, apa yang Anda lakukan? Tentu sign-in dengan username dan password eBay. Nomer kartu kredit memang dikaburkan (kecuali empat digit) tetapi ini cukup berpotensi membuka jalan masuk hacker . Selain itu hacker juga akan mendapatkan informasi tanggal kadaluarsa, seberapa sering Anda menggunakannya dan beberapa informasi lain. Informasi ini cukup bagi hacker untuk menentukan target.
Ingat, identitas online Anda pada dasarnya adalah satuan data identitas fisik Anda. Setiap elemen nama, tanggal lahir, alamat seperti puzzel. Semakin banyak potongan yang ditemukan akan menjadi sebuah gambar yang utuh.
Apa yang harus Anda lakukan untuk melindungi data Anda?
eBay mengatakan kalau semua perusahaan mereka terpisah. Ini berarti, PayPal benar-benar terpisah dari eBay. Namun karena perusahaan mengatakan kalau ada karyawan yang dimanfaatkan untuk membobol data, tidak ada alasan untuk yakin pada pernyataan ini. jadi, Paseban merekomendasikan untuk Anda yang memiliki akun eBay atau PayPal untuk mengganti username dan passwordnya. Pastikan berbeda dengan akun online lainnya. Tips Paseban, simpanlah password Anda di aplikasi seperti LastPass. [RIC]
