- Beranda
- Surat Pembaca
Waspada: Sistem Keamanan Tokopedia yang rapuh, uang anda akan hilang!
...
TS
winbert
Waspada: Sistem Keamanan Tokopedia yang rapuh, uang anda akan hilang!
Ini adalah pengalaman pribadi dan telah disampaikan ke Customer Service Tokopedia (nomor pelaporan 10135112), namun jawaban yang diberikan sangat standar sehingga tidak memecahkan persoalan kerugian yang saya alami.
Semua berawal dari menghilangnya sejumlah dana yang cukup besar dari akun tokopedia saya yang dicuri oleh member tokopedia lainnya. Bagaimana hal ini bisa terjadi? ini semua berasal dari penggunaan OTP (One Time Password) yang dianggap Tokopedia sebagai pelindung tambahan bagi keamanan berbelanja di tempatnya. Namun yang terjadi justru sebaliknya, OTP menjadi alat untuk membongkar akun anggota lain.
Permasalahan utama karena Tokopedia membuka peluang semua orang untuk masuk (log-in) ke sebuah akun hanya menggunakan nomor telpon dan OTP tersebut. Padahal OTP tersebut dikirim oleh Tokopedia ke server operator telpon yang setiap orang bisa melihat apabila memiliki kemampuan untuk menyadap SMS. Artinya, ketika terjadi proses pengiriman OTP dari server Tokopedia ke operator telpon, dan kebetulan ada yang mencegatnya, maka orang tersebut telah memperoleh informasi nomor telepon dan OTP yang kemudian dapat dipakai untuk masuk dan menggunakan akun pemilik no telepon tersebut. Selanjutnya tinggal belanja dengan menggunakan uang orang lain!
Di banyak tempat, OTP memang digunakan sebagai feature keamanan tambahan, di mana seseorang harus log-in terlebih dulu dengan menggunakan username dan password yang hanya diketahui pemilik akun. Setelah itu, untuk keamanan tingkat dua, maka akan dikirim OTP ke nomor HP pemilik akun. Apabila OTP tersebut berhasil diinput maka dia dapat menggunakan akun tersebut. Namun jika OTP salah, akun akan terkunci. Ini memperkecil seseorang menggunakan akun orang lain, karena berarti dia harus terlebih dahulu membongkar username dan password dan setelah itu harus memperoleh OTP-nya. Dua sistem keamanan yang berada di server yang berbeda. Proses ini umum terjadi di semua Marketplace di seluruh dunia, seperti Ebay, Kijiji, Paypal, juga termasuk Marketplace lokal seperti Bukalapak.
Akan tetapi Tokopedia tidaklah demikian. Untuk log ini anggota dapat memilih salah satu, yakni Username + password atau No telepon + OTP. Ketika terjadi peristiwa pencurian dana anggota, maka jawaban standar Tokopedia adalah "anggota diminta untuk tidak memberikan OTP kepada pihak lain" lalu "meminta anggota agar melaporkan hal ini kepada pihak kepolisian". Kedua jawaban ini tidak memecahkan persoalan.
Tokopedia telah cukup "cerdik" dengan membuat sistem OTP yang sangat rapuh tersebut karena dengan demikian dapat mengelak apabila ada kasus pencurian dana seperti yang saya alami dengan berdalih bahwa OTP tersebut telah diperoleh oleh pihak lain. Dan dalam hal ini Tokopedia merasa dapat lepas dari tanggungjawab karena OTP tersebut berada di luar sistem server Tokopedia sehingga mempersilakan korban untuk melaporkan kepada pihak kepolisian. Tidak semua orang memiliki waktu untuk melaporkan hal semacam ini kepada pihak kepolisian, dan biasanya Tokopedia akan terlepas dari tanggungjawab mengembalikan dana yang hilang tersebut.
Ini merupakan tindakan yang tidak fair dari Tokopedia dan saya menyimpulkan bahwa berbelanja di Tokopedia tidak aman. Oleh karena itu saya mendorong orang untuk tidak lagi menggunakan Tokopedia sebagai tempat berbelanja tetapi beralih kepada marketplace lain yang memiliki standar keamanan yang lebih baik.
Terimakasih
Winbert Hutahaean
Edit dg screen shot percakapan yg menunjukan bhw TOKOPEDIA menjadikan OTP sbg layer utama keamanan bukan layer tambahan.
Semua berawal dari menghilangnya sejumlah dana yang cukup besar dari akun tokopedia saya yang dicuri oleh member tokopedia lainnya. Bagaimana hal ini bisa terjadi? ini semua berasal dari penggunaan OTP (One Time Password) yang dianggap Tokopedia sebagai pelindung tambahan bagi keamanan berbelanja di tempatnya. Namun yang terjadi justru sebaliknya, OTP menjadi alat untuk membongkar akun anggota lain.
Permasalahan utama karena Tokopedia membuka peluang semua orang untuk masuk (log-in) ke sebuah akun hanya menggunakan nomor telpon dan OTP tersebut. Padahal OTP tersebut dikirim oleh Tokopedia ke server operator telpon yang setiap orang bisa melihat apabila memiliki kemampuan untuk menyadap SMS. Artinya, ketika terjadi proses pengiriman OTP dari server Tokopedia ke operator telpon, dan kebetulan ada yang mencegatnya, maka orang tersebut telah memperoleh informasi nomor telepon dan OTP yang kemudian dapat dipakai untuk masuk dan menggunakan akun pemilik no telepon tersebut. Selanjutnya tinggal belanja dengan menggunakan uang orang lain!
Di banyak tempat, OTP memang digunakan sebagai feature keamanan tambahan, di mana seseorang harus log-in terlebih dulu dengan menggunakan username dan password yang hanya diketahui pemilik akun. Setelah itu, untuk keamanan tingkat dua, maka akan dikirim OTP ke nomor HP pemilik akun. Apabila OTP tersebut berhasil diinput maka dia dapat menggunakan akun tersebut. Namun jika OTP salah, akun akan terkunci. Ini memperkecil seseorang menggunakan akun orang lain, karena berarti dia harus terlebih dahulu membongkar username dan password dan setelah itu harus memperoleh OTP-nya. Dua sistem keamanan yang berada di server yang berbeda. Proses ini umum terjadi di semua Marketplace di seluruh dunia, seperti Ebay, Kijiji, Paypal, juga termasuk Marketplace lokal seperti Bukalapak.
Akan tetapi Tokopedia tidaklah demikian. Untuk log ini anggota dapat memilih salah satu, yakni Username + password atau No telepon + OTP. Ketika terjadi peristiwa pencurian dana anggota, maka jawaban standar Tokopedia adalah "anggota diminta untuk tidak memberikan OTP kepada pihak lain" lalu "meminta anggota agar melaporkan hal ini kepada pihak kepolisian". Kedua jawaban ini tidak memecahkan persoalan.
Tokopedia telah cukup "cerdik" dengan membuat sistem OTP yang sangat rapuh tersebut karena dengan demikian dapat mengelak apabila ada kasus pencurian dana seperti yang saya alami dengan berdalih bahwa OTP tersebut telah diperoleh oleh pihak lain. Dan dalam hal ini Tokopedia merasa dapat lepas dari tanggungjawab karena OTP tersebut berada di luar sistem server Tokopedia sehingga mempersilakan korban untuk melaporkan kepada pihak kepolisian. Tidak semua orang memiliki waktu untuk melaporkan hal semacam ini kepada pihak kepolisian, dan biasanya Tokopedia akan terlepas dari tanggungjawab mengembalikan dana yang hilang tersebut.
Ini merupakan tindakan yang tidak fair dari Tokopedia dan saya menyimpulkan bahwa berbelanja di Tokopedia tidak aman. Oleh karena itu saya mendorong orang untuk tidak lagi menggunakan Tokopedia sebagai tempat berbelanja tetapi beralih kepada marketplace lain yang memiliki standar keamanan yang lebih baik.
Terimakasih
Winbert Hutahaean
Edit dg screen shot percakapan yg menunjukan bhw TOKOPEDIA menjadikan OTP sbg layer utama keamanan bukan layer tambahan.
Diubah oleh winbert 17-11-2018 00:25
anasabila dan 4 lainnya memberi reputasi
3
22.6K
163
Guest
Tulis komentar menarik atau mention replykgpt untuk ngobrol seru
Mari bergabung, dapatkan informasi dan teman baru!
Surat Pembaca
13KThread•1.9KAnggota
Tampilkan semua post
Robbiemailbox
#8
All Kaskuser,
Saya setuju dengan Winbert Hutahaean.
Hari ini saya telah tertipu oleh seller tokoleptopterbesar, saya beli intel stick m3, memang harganya miring, kalau saya bandingkan dengan yang lain Rp. 5jt dan yang satu ini Rp. 3.5jt. Yang bikin miris adalah bukan ditipu tipenya yang kemungkinan pake intel atom, yang lebih murah, dan kemahalan jadi belinya. Malah ketipu diambil uangnya semua.
Caranya sangat licik dan busuk. Mengaku seller, dan setelah saya transfer, besoknya saya ditelp dari seller, karena dia punya data no hp saya, sehingga dia memberi pernyataan karena dari seller "jangan memberikan pin atau apapun selalin ke tokopedia atau ke seller, lalu dia bilang ini disiapkan barangnya dan mau dikirim hari ini, tetapi diverifikasi dahulu, sekarang ada sms yang dikirim, tolong diberitau berapa pinnya, jadi saya beri tau yang salah dahulu, dan ternyata dia bilang salah, lalu dia bilang sekarang liat lagi ada sms lagi untuk verifikasi pin sehingga bisa terkirim barangnya. Nah begitu saya beri tau eh, saya baru ngeh kalau itu ternyata modusnya untuk mengambil alih account saya. dan langsung saya buka ipad tokopedia saya, karena langsung saya liat ternyata memang sudah tereset dan ke block. Ga bisa masuk lagi. Saya mencoba mengambil alih. Dan penipu tersebut menelepon sampai 8x dengan no:082272153654. tapi saya tidak mengangkatnya, yang terakhir saya angkat saya bilang anda penipu dan akan saya tuntut. lalu tidak pernah telp lagi sejak ketauan. Saya tau maksudnya mau ambil alih email account saya. Karena saya masuk memakai email account masih valid, saya ganti ambil verifikasi, tetapi ternyata semua history pembelian dan barang atau saldo hilang semua dari tokopedia, dan dinyatakan baru. lalu saya masukan komplainan melewati tokopedia website. Dan di telp oleh saudari Dyah. Saya ceritakan semua kejadiannya baru 30menit yang lalu, tolong segera bertindak untuk hold account saya dan freeze pindah buku, karena saya tau 2x24 jam transfer biasanya terjadi.
Tetapi memang masih diminta menunggu 2x24 jam setelah itu baru diberikan info. Saya masih berharap dikembalikan uang saya 3.5 jt, karena lumayan besar jumlahnya, dan meski begitu tokopedia sebagai payung online e-commerce seharusnya memberikan perlindungan atas pembelian saya melalui situs TOPED. Hal ini merugikan customers, saya layangkan surat ini di kaskus supaya mereka aware atas penipuan loophole security di TOPED ini.
Saya akan melayangkan email dan komplain ke cyber crime, blog dan youtube content creation, sehingga saya bisa sebarkan lebih luas lagi. Waktu saya liat di web sudah banyak ternyata yang menjadi korban penipuan TOPED ini. Jadi harus lebih berhati-hati membeli online product.
Email saya: robbiemailbox@gmail.com
Saya setuju dengan Winbert Hutahaean.
Hari ini saya telah tertipu oleh seller tokoleptopterbesar, saya beli intel stick m3, memang harganya miring, kalau saya bandingkan dengan yang lain Rp. 5jt dan yang satu ini Rp. 3.5jt. Yang bikin miris adalah bukan ditipu tipenya yang kemungkinan pake intel atom, yang lebih murah, dan kemahalan jadi belinya. Malah ketipu diambil uangnya semua.
Caranya sangat licik dan busuk. Mengaku seller, dan setelah saya transfer, besoknya saya ditelp dari seller, karena dia punya data no hp saya, sehingga dia memberi pernyataan karena dari seller "jangan memberikan pin atau apapun selalin ke tokopedia atau ke seller, lalu dia bilang ini disiapkan barangnya dan mau dikirim hari ini, tetapi diverifikasi dahulu, sekarang ada sms yang dikirim, tolong diberitau berapa pinnya, jadi saya beri tau yang salah dahulu, dan ternyata dia bilang salah, lalu dia bilang sekarang liat lagi ada sms lagi untuk verifikasi pin sehingga bisa terkirim barangnya. Nah begitu saya beri tau eh, saya baru ngeh kalau itu ternyata modusnya untuk mengambil alih account saya. dan langsung saya buka ipad tokopedia saya, karena langsung saya liat ternyata memang sudah tereset dan ke block. Ga bisa masuk lagi. Saya mencoba mengambil alih. Dan penipu tersebut menelepon sampai 8x dengan no:082272153654. tapi saya tidak mengangkatnya, yang terakhir saya angkat saya bilang anda penipu dan akan saya tuntut. lalu tidak pernah telp lagi sejak ketauan. Saya tau maksudnya mau ambil alih email account saya. Karena saya masuk memakai email account masih valid, saya ganti ambil verifikasi, tetapi ternyata semua history pembelian dan barang atau saldo hilang semua dari tokopedia, dan dinyatakan baru. lalu saya masukan komplainan melewati tokopedia website. Dan di telp oleh saudari Dyah. Saya ceritakan semua kejadiannya baru 30menit yang lalu, tolong segera bertindak untuk hold account saya dan freeze pindah buku, karena saya tau 2x24 jam transfer biasanya terjadi.
Tetapi memang masih diminta menunggu 2x24 jam setelah itu baru diberikan info. Saya masih berharap dikembalikan uang saya 3.5 jt, karena lumayan besar jumlahnya, dan meski begitu tokopedia sebagai payung online e-commerce seharusnya memberikan perlindungan atas pembelian saya melalui situs TOPED. Hal ini merugikan customers, saya layangkan surat ini di kaskus supaya mereka aware atas penipuan loophole security di TOPED ini.
Saya akan melayangkan email dan komplain ke cyber crime, blog dan youtube content creation, sehingga saya bisa sebarkan lebih luas lagi. Waktu saya liat di web sudah banyak ternyata yang menjadi korban penipuan TOPED ini. Jadi harus lebih berhati-hati membeli online product.
Email saya: robbiemailbox@gmail.com
dosetdaram17 memberi reputasi
-4
Tutup