 |
| Penulis: Nikita Bella Angelina, Universitas Ciputra Surabaya. (Foto: Dok/Ist). |
Suara Time, Kolom - Lebih dari dua pertiga e-commerce menganggap kejahatan cyber sebagai masalah keamanan utama. Dalam sektor ritel dan e-commerce, informasi yang bocor sering kali mencakup data sensitif seperti detail kartu kredit dan informasi pribadi lainnya, termasuk nama, usia, dan jenis kelamin. Kebocoran data ini tidak hanya mengancam privasi pengguna tetapi juga dapat menyebabkan kerugian finansial yang signifikan bagi konsumen dan reputasi perusahaan. (The Hacker-Powered Security Report, 2019)
Kasus perlindungan data dan privasi konsumen dalam e-commerce di Indonesia telah menjadi sorotan utama dalam beberapa tahun terakhir, terutama dengan maraknya insiden kebocoran data pribadi. Kasus-kasus kebocoran data pribadi di e-commerce di Indonesia menunjukkan bahwa perlindungan data pribadi masih menjadi tantangan utama. Berikut merupakan contoh-contoh kasus kebocoran data pribadi yang pernah terjadi di e-commerce terutama di e-commerce Indonesia.
Kasus yang pertama merupakan kebocoran data pribadi di Bukalapak. Pada April 2020, Bukalapak mengalami insiden kebocoran data pribadi yang parah, di mana sekitar 13 juta akun penggunanya dari tahun 2017 terdeteksi telah dijual di forum gelap hacker RaidForums dengan nama penjual yaitu Asian Boy.
Selain Bukalapak, ada juga kasus kebocoran data pribadi di Tokopedia yang terjadi di periode waktu yang hampir sama dengan Bukalapak yaitu Mei 2020, ditemukan bahwa 91 juta akun Tokopedia dan 7 juta akun merchant telah dijual di forum darkweb bernama EmpireMarket dengan harga $5000 AS (sekitar Rp 74 juta). Lalu ada juga kasus kebocoran data di Shopee yang terjadi pada pengguna Shopee yang melaporkan bahwa data pribadinya bocor dan digunakan dalam penipuan. Meskipun tidak ada kebocoran data besar-besaran, insiden ini menimbulkan kekhawatiran tentang perlindungan data di platform e-commerce.
Kasus ini juga pernah terjadi e-commerce Lazada yaitu terjadi insiden di mana sejumlah kecil data pengguna bocor ke pihak ketiga. Meskipun tidak sebesar kasus Tokopedia atau Bukalapak, insiden ini menunjukkan bahwa bahkan platform besar pun rentan terhadap kebocoran data. Lazada mengalami kebocoran data akibat kelalaian penjual yang menyebabkan akses tidak sah ke data pribadi pengguna.
Selanjutnya, Carousell juga sempat mengalami insiden kebocoran data yang dilaporkan oleh Kementerian Komunikasi dan Informatika (Kemkominfo) dimana sekitar 2,6 juta akun Carousell dari Malaysia dan Singapura telah bocor. Kebocoran ini diduga disebabkan oleh bug dalam proses migrasi sistem yang digunakan oleh pihak ketiga, yang memberikan akses tidak sah ke database Carousell.
Platform Bhinneka.com juga mengalami kebocoran data yang mengakibatkan informasi dari sekitar 1,2 juta pengguna bocor. Ini terjadi pada waktu yang sama dengan insiden kebocoran di Tokopedia yaitu pada Mei 2020. Namun, Bhinneka.com tidak menyimpan data informasi pembayaran seperti kartu kredit dan sebagainya.
Selain itu, Zalora pun sempat mengalami kasus kebocoran data yang melibatkan pembobolan akun pengguna. Seorang pengguna bernama Lai Sulaiman melaporkan bahwa akunnya di Zalora dibobol, yang mengakibatkan kerugian sebesar Rp 14 juta. Penyerang berhasil mengakses akun dan melakukan sembilan transaksi menggunakan kartu kredit pengguna tanpa izin. Pelaku juga mengubah nama, password, dan alamat pengiriman pada akun tersebut.
Selain e-commerce, kebocoran data juga pernah terjadi pada aplikasi-aplikasi pemerintahan seperti MyPertamina dan PeduliLindungi. Kebocoran di MyPertamina dilakukan oleh akun Bjorka yang telah mengklaim mendapatkan data pribadi sebesar 44,2 juta pengguna aplikasi MyPertamina. Bjorka mengunggah data tersebut di BreachForums dan menjualnya dengan harga 25.000 US dollar. Kebocoran pada PeduliLindungi juga dilakukan oleh akun Bjorka yang mengklaim mendapatkan data 3,2 miliar pengguna aplikasi PeduliLindungi.
Kebocoran data di sektor e-commerce merupakan isu yang semakin mendesak, terutama dengan meningkatnya penggunaan platform digital untuk transaksi. Kasus-kasus yang dialami oleh E-Commerce di Indonesia di bawah ini menunjukkan betapa rentannya data pribadi pengguna terhadap ancaman cyber.
Dalam konteks global, regulasi untuk ancaman cyber seperti GDPR di Eropa memberikan kerangka hukum yang ketat untuk perlindungan data pribadi. GDPR sendiri merupakan regulasi yang dirancang untuk melindungi data pribadi warga negara Uni Eropa dan memberikan hak-hak baru kepada individu terkait data pribadi mereka. Regulasi ini memperluas definisi data pribadi untuk mencakup data tingkat individu seperti cookie dan alamat IP, serta menetapkan kewajiban baru bagi perusahaan dalam pengumpulan dan pemrosesan data. (Samuel Goldberg, 2019)
Sekarang, Indonesia telah memiliki regulasi yang khusus melindungi data pribadi konsumen, seperti Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi Konsumen. Jika terjadi kebocoran data pribadi, marketplace dapat dikenakan sanksi administratif sesuai peraturan perundang-undangan yang berlaku, dan konsumen dapat mengajukan gugatan atas dasar kelalaian marketplace sesuai Pasal 1366 KUH Perdata.
Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) dapat menangani berbagai kasus kebocoran data pribadi di sektor e-commerce Indonesia, seperti yang dialami oleh Bukalapak, Tokopedia, Shopee, dan platform-platform lainnya. UU PDP mengatur bahwa setiap platform digital yang mengelola data pribadi pengguna, terutama e-commerce, wajib memenuhi standar perlindungan data yang ketat, mencakup pengamanan, pengelolaan data, dan transparansi pemrosesan data pengguna. Di dalamnya, terdapat prinsip-prinsip pengolahan data yang sah, yaitu pengumpulan data sesuai tujuan, keamanan data, dan pengawasan internal yang ketat.
UU ini juga mewajibkan perusahaan untuk memberi notifikasi segera jika terjadi kebocoran data, seperti yang dilakukan Tokopedia, agar pengguna dapat mengambil langkah mitigasi. Selain itu, UU PDP memberikan hak kepada pengguna sebagai subjek data untuk mengakses, memperbarui, dan menghapus data mereka, serta menetapkan sanksi tegas bagi pelanggar, termasuk sanksi administratif dan pidana bagi yang gagal melindungi data pribadi. Dengan penerapan UU PDP, diharapkan perusahaan e-commerce dapat meningkatkan sistem keamanan data pengguna sehingga mampu mengurangi risiko kebocoran dan mengembalikan kepercayaan publik terhadap transaksi digital di Indonesia.
UU ini penting karena sebagian besar pengguna e-commerce memiliki kesadaran akan risiko yang terkait dengan pengungkapan informasi pribadi secara online namun masih terdapat kekurangan dalam pemahaman mendalam mengenai langkah-langkah yang dapat diambil untuk melindungi data pribadi mereka.
Selain itu, dibahas juga dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, perusahaan wajib mengakui dan melaporkan kebocoran data kepada pengguna. Kegagalan untuk melakukan hal ini dapat mengakibatkan sanksi hukum dan kerugian reputasi yang lebih besar. Dalam konteks ini, transparansi bukan hanya etis tetapi juga merupakan kewajiban hukum yang harus dipatuhi oleh perusahaan.
Respon yang cepat dan transparan terhadap insiden kebocoran data sangat penting untuk memulihkan kepercayaan pelanggan. Respon perusahaan terhadap insiden data leaking harus mencakup transparansi dengan memberikan informasi yang jelas dan akurat kepada pengguna mengenai insiden tersebut. Hal ini termasuk menjelaskan jenis data yang terungkap, potensi risiko yang mungkin dihadapi pengguna, dan langkah-langkah yang diambil untuk mengatasi masalah tersebut. Dengan melakukan komunikasi yang terbuka dan jujur, perusahaan dapat membangun kembali kepercayaan pelanggan dan menunjukkan komitmen terhadap perlindungan data pribadi mereka.
Kebocoran data dalam e-commerce merupakan isu serius yang memerlukan perhatian lebih dari semua pemangku kepentingan. Perusahaan harus berinvestasi dalam teknologi keamanan yang lebih baik dan mematuhi regulasi perlindungan data untuk melindungi informasi pribadi pengguna. Selain itu, edukasi kepada pengguna tentang praktik keamanan juga sangat penting untuk mengurangi risiko penyalahgunaan data pribadi.
Oleh karena itu, penting bagi perusahaan e-commerce untuk meningkatkan keamanan sistem elektronik dan mematuhi regulasi perlindungan data pribadi yang ada. Dengan demikian, kepercayaan konsumen dapat dipertahankan, dan risiko penyalahgunaan data pribadi dapat diminimalkan.
*) Penulis adalah Nikita Bella Angelina, Universitas Ciputra Surabaya.
Komentar0