Surat Pembaca Indonesia

Waspada Sistem Keamanan Tokopedia yang rapuh uang anda akan hilang

Perdagangan

Ini adalah pengalaman pribadi dan telah disampaikan ke Customer Service Tokopedia (nomor pelaporan 10135112), namun jawaban yang diberikan sangat standar sehingga tidak memecahkan persoalan kerugian yang saya alami. Semua berawal dari menghilangnya sejumlah dana yang cukup besar dari akun tokopedia saya yang dicuri oleh member tokopedia lainnya. Bagaimana hal ini bisa terjadi? ini semua berasal dari penggunaan OTP (One Time Password) yang dianggap Tokopedia sebagai pelindung tambahan bagi keamanan berbelanja di tempatnya. Namun yang terjadi justru sebaliknya, OTP menjadi alat untuk membongkar akun anggota lain. Permasalahan utama karena Tokopedia membuka peluang semua orang untuk masuk (log-in) ke sebuah akun hanya menggunakan nomor telpon dan OTP tersebut. Padahal OTP tersebut dikirim oleh Tokopedia ke server operator telpon yang setiap orang bisa melihat apabila memiliki kemampuan untuk menyadap SMS. Artinya, ketika terjadi proses pengiriman OTP dari server Tokopedia ke operator telpon, dan kebetulan ada yang mencegatnya, maka orang tersebut telah memperoleh informasi nomor telepon dan OTP yang kemudian dapat dipakai untuk masuk dan menggunakan akun pemilik no telepon tersebut. Selanjutnya tinggal belanja dengan menggunakan uang orang lain! Di banyak tempat, OTP memang digunakan sebagai feature keamanan tambahan, di mana seseorang harus log-in terlebih dulu dengan menggunakan username dan password yang hanya diketahui pemilik akun. Setelah itu, untuk keamanan tingkat dua, maka akan dikirim OTP ke nomor HP pemilik akun. Apabila OTP tersebut berhasil diinput maka dia dapat menggunakan akun tersebut. Namun jika OTP salah, akun akan terkunci. Ini memperkecil seseorang menggunakan akun orang lain, karena berarti dia harus terlebih dahulu membongkar username dan password dan setelah itu harus memperoleh OTP-nya. Dua sistem keamanan yang berada di server yang berbeda. Proses ini umum terjadi di semua Marketplace di seluruh dunia, seperti Ebay, Kijiji, Paypal, juga termasuk Marketplace lokal seperti Bukalapak. Akan tetapi Tokopedia tidaklah demikian. Untuk log ini anggota dapat memilih salah satu, yakni Username + password atau No telepon + OTP. Ketika terjadi peristiwa pencurian dana anggota, maka jawaban standar Tokopedia adalah "anggota diminta untuk tidak memberikan OTP kepada pihak lain" lalu "meminta anggota agar melaporkan hal ini kepada pihak kepolisian". Kedua jawaban ini tidak memecahkan persoalan. Tokopedia telah cukup "cerdik" dengan membuat sistem OTP yang sangat rapuh tersebut karena dengan demikian dapat mengelak apabila ada kasus pencurian dana seperti yang saya alami dengan berdalih bahwa OTP tersebut telah diperoleh oleh pihak lain. Dan dalam hal ini Tokopedia merasa dapat lepas dari tanggungjawab karena OTP tersebut berada di luar sistem server Tokopedia sehingga mempersilakan korban untuk melaporkan kepada pihak kepolisian. Tidak semua orang memiliki waktu untuk melaporkan hal semacam ini kepada pihak kepolisian, dan biasanya Tokopedia akan terlepas dari tanggungjawab mengembalikan dana yang hilang tersebut. Ini merupakan tindakan yang tidak fair dari Tokopedia dan saya menyimpulkan bahwa berbelanja di Tokopedia tidak aman. Oleh karena itu saya mendorong orang untuk tidak lagi menggunakan Tokopedia sebagai tempat berbelanja tetapi beralih kepada marketplace lain yang memiliki standar keamanan yang lebih baik. Terimakasih Winbert Hutahaean Edit dg screen shot percakapan yg menunjukan bhw TOKOPEDIA menjadikan OTP sbg layer utama keamanan bukan layer tambahan.


560 dilihat