- Beranda
- Surat Pembaca
Waspada: Sistem Keamanan Tokopedia yang rapuh, uang anda akan hilang!
...
TS
winbert
Waspada: Sistem Keamanan Tokopedia yang rapuh, uang anda akan hilang!
Ini adalah pengalaman pribadi dan telah disampaikan ke Customer Service Tokopedia (nomor pelaporan 10135112), namun jawaban yang diberikan sangat standar sehingga tidak memecahkan persoalan kerugian yang saya alami.
Semua berawal dari menghilangnya sejumlah dana yang cukup besar dari akun tokopedia saya yang dicuri oleh member tokopedia lainnya. Bagaimana hal ini bisa terjadi? ini semua berasal dari penggunaan OTP (One Time Password) yang dianggap Tokopedia sebagai pelindung tambahan bagi keamanan berbelanja di tempatnya. Namun yang terjadi justru sebaliknya, OTP menjadi alat untuk membongkar akun anggota lain.
Permasalahan utama karena Tokopedia membuka peluang semua orang untuk masuk (log-in) ke sebuah akun hanya menggunakan nomor telpon dan OTP tersebut. Padahal OTP tersebut dikirim oleh Tokopedia ke server operator telpon yang setiap orang bisa melihat apabila memiliki kemampuan untuk menyadap SMS. Artinya, ketika terjadi proses pengiriman OTP dari server Tokopedia ke operator telpon, dan kebetulan ada yang mencegatnya, maka orang tersebut telah memperoleh informasi nomor telepon dan OTP yang kemudian dapat dipakai untuk masuk dan menggunakan akun pemilik no telepon tersebut. Selanjutnya tinggal belanja dengan menggunakan uang orang lain!
Di banyak tempat, OTP memang digunakan sebagai feature keamanan tambahan, di mana seseorang harus log-in terlebih dulu dengan menggunakan username dan password yang hanya diketahui pemilik akun. Setelah itu, untuk keamanan tingkat dua, maka akan dikirim OTP ke nomor HP pemilik akun. Apabila OTP tersebut berhasil diinput maka dia dapat menggunakan akun tersebut. Namun jika OTP salah, akun akan terkunci. Ini memperkecil seseorang menggunakan akun orang lain, karena berarti dia harus terlebih dahulu membongkar username dan password dan setelah itu harus memperoleh OTP-nya. Dua sistem keamanan yang berada di server yang berbeda. Proses ini umum terjadi di semua Marketplace di seluruh dunia, seperti Ebay, Kijiji, Paypal, juga termasuk Marketplace lokal seperti Bukalapak.
Akan tetapi Tokopedia tidaklah demikian. Untuk log ini anggota dapat memilih salah satu, yakni Username + password atau No telepon + OTP. Ketika terjadi peristiwa pencurian dana anggota, maka jawaban standar Tokopedia adalah "anggota diminta untuk tidak memberikan OTP kepada pihak lain" lalu "meminta anggota agar melaporkan hal ini kepada pihak kepolisian". Kedua jawaban ini tidak memecahkan persoalan.
Tokopedia telah cukup "cerdik" dengan membuat sistem OTP yang sangat rapuh tersebut karena dengan demikian dapat mengelak apabila ada kasus pencurian dana seperti yang saya alami dengan berdalih bahwa OTP tersebut telah diperoleh oleh pihak lain. Dan dalam hal ini Tokopedia merasa dapat lepas dari tanggungjawab karena OTP tersebut berada di luar sistem server Tokopedia sehingga mempersilakan korban untuk melaporkan kepada pihak kepolisian. Tidak semua orang memiliki waktu untuk melaporkan hal semacam ini kepada pihak kepolisian, dan biasanya Tokopedia akan terlepas dari tanggungjawab mengembalikan dana yang hilang tersebut.
Ini merupakan tindakan yang tidak fair dari Tokopedia dan saya menyimpulkan bahwa berbelanja di Tokopedia tidak aman. Oleh karena itu saya mendorong orang untuk tidak lagi menggunakan Tokopedia sebagai tempat berbelanja tetapi beralih kepada marketplace lain yang memiliki standar keamanan yang lebih baik.
Terimakasih
Winbert Hutahaean
Edit dg screen shot percakapan yg menunjukan bhw TOKOPEDIA menjadikan OTP sbg layer utama keamanan bukan layer tambahan.
Semua berawal dari menghilangnya sejumlah dana yang cukup besar dari akun tokopedia saya yang dicuri oleh member tokopedia lainnya. Bagaimana hal ini bisa terjadi? ini semua berasal dari penggunaan OTP (One Time Password) yang dianggap Tokopedia sebagai pelindung tambahan bagi keamanan berbelanja di tempatnya. Namun yang terjadi justru sebaliknya, OTP menjadi alat untuk membongkar akun anggota lain.
Permasalahan utama karena Tokopedia membuka peluang semua orang untuk masuk (log-in) ke sebuah akun hanya menggunakan nomor telpon dan OTP tersebut. Padahal OTP tersebut dikirim oleh Tokopedia ke server operator telpon yang setiap orang bisa melihat apabila memiliki kemampuan untuk menyadap SMS. Artinya, ketika terjadi proses pengiriman OTP dari server Tokopedia ke operator telpon, dan kebetulan ada yang mencegatnya, maka orang tersebut telah memperoleh informasi nomor telepon dan OTP yang kemudian dapat dipakai untuk masuk dan menggunakan akun pemilik no telepon tersebut. Selanjutnya tinggal belanja dengan menggunakan uang orang lain!
Di banyak tempat, OTP memang digunakan sebagai feature keamanan tambahan, di mana seseorang harus log-in terlebih dulu dengan menggunakan username dan password yang hanya diketahui pemilik akun. Setelah itu, untuk keamanan tingkat dua, maka akan dikirim OTP ke nomor HP pemilik akun. Apabila OTP tersebut berhasil diinput maka dia dapat menggunakan akun tersebut. Namun jika OTP salah, akun akan terkunci. Ini memperkecil seseorang menggunakan akun orang lain, karena berarti dia harus terlebih dahulu membongkar username dan password dan setelah itu harus memperoleh OTP-nya. Dua sistem keamanan yang berada di server yang berbeda. Proses ini umum terjadi di semua Marketplace di seluruh dunia, seperti Ebay, Kijiji, Paypal, juga termasuk Marketplace lokal seperti Bukalapak.
Akan tetapi Tokopedia tidaklah demikian. Untuk log ini anggota dapat memilih salah satu, yakni Username + password atau No telepon + OTP. Ketika terjadi peristiwa pencurian dana anggota, maka jawaban standar Tokopedia adalah "anggota diminta untuk tidak memberikan OTP kepada pihak lain" lalu "meminta anggota agar melaporkan hal ini kepada pihak kepolisian". Kedua jawaban ini tidak memecahkan persoalan.
Tokopedia telah cukup "cerdik" dengan membuat sistem OTP yang sangat rapuh tersebut karena dengan demikian dapat mengelak apabila ada kasus pencurian dana seperti yang saya alami dengan berdalih bahwa OTP tersebut telah diperoleh oleh pihak lain. Dan dalam hal ini Tokopedia merasa dapat lepas dari tanggungjawab karena OTP tersebut berada di luar sistem server Tokopedia sehingga mempersilakan korban untuk melaporkan kepada pihak kepolisian. Tidak semua orang memiliki waktu untuk melaporkan hal semacam ini kepada pihak kepolisian, dan biasanya Tokopedia akan terlepas dari tanggungjawab mengembalikan dana yang hilang tersebut.
Ini merupakan tindakan yang tidak fair dari Tokopedia dan saya menyimpulkan bahwa berbelanja di Tokopedia tidak aman. Oleh karena itu saya mendorong orang untuk tidak lagi menggunakan Tokopedia sebagai tempat berbelanja tetapi beralih kepada marketplace lain yang memiliki standar keamanan yang lebih baik.
Terimakasih
Winbert Hutahaean
Edit dg screen shot percakapan yg menunjukan bhw TOKOPEDIA menjadikan OTP sbg layer utama keamanan bukan layer tambahan.
Diubah oleh winbert 17-11-2018 00:25
anasabila dan 4 lainnya memberi reputasi
3
22.6K
163
Guest
Tulis komentar menarik atau mention replykgpt untuk ngobrol seru
Mari bergabung, dapatkan informasi dan teman baru!
Surat Pembaca
13KThread•1.9KAnggota
Tampilkan semua post
santoz64
#71
Dari post2 yang ditulis oleh ts saya dapat mengetahui kalo ts memiliki pengetahuan it dan networking yang tinggi dibanding orang-orang awam, menurut saya ts tidak akan sebodoh itu memberikan otp ke orang lain. Dan saya juga setuju jika otp sebaiknya digunakan untuk layer keamanan tambahan, bukan layer utama.
Saya cmn ingin sharing tambahan, klo smartphone itu bisa berfungsi sebagai alat sadap portable. Android itu tidak aman !
Coba search hal2 berikut di search engine :
1. Android cloak and dagger : vulnerability yang memungkinkan seseorang membuat keylogger,phising dan remotely install app yang tidak memerlukan root permission dan persetujuan user. Google menolak untuk memperbaikinya hingga saat ini dengan alasan "it is a feature, working as intended" !
2. libsec ril backdoor : backdoor yang ditanam di Samsung Nexus dan Galaxy, dengan ini seseorang bisa membaca, memodifikasi dan mendelete file2 yang ada di Android melalui komunikasi gsm. Ini backdoor yang ketahuan, yang tidak ketahuan pasti lebih banyak lagi. Dengan ini penyerang dapat mengakses,memodifikasi dan mendelete semua file di Android remotely, karena backdoor ini biasanya running dengan root privilege. Namun hal ini sulit dilakukan, mungkin hanya terbatas pada agen2 intelijen, namun tidak menutup kemungkinan dilakukan lainnya.
4. Android scanning wi fi even turned off: Android tetap scanning access point meskipun kita mematikan wifi. Terlebih lagi, Android men-spoof mac address wifi device yang sebenarnya. Klo ini saya pribadi pernah mengalami, waktu itu sedang mainan airodump-ng (bagian dari airkrack-ng) di komputer Linux tiba2 mac address wifi hp saya muncul, tetapi tidak di-spoof saat itu, jd ketahuan. Lupa spoof kali ya
. Dengan ini dapat mengetahui lokasi seseorang meskipun gps dan gsm dimatikan. Search : bssid location lookup
5. Android adalah open source, namun yang berhak memodifikasi source codenya, mengcompile, dan kemudian merilisnya dengan nama Android hanyalah Google. Jika orang lain di luar Google ingin melakukannya harus dengan nama lain, semisal Lineage OS. Itulah kenapa point no 1 tidak di-patch di Android karena Google tidak setuju. Lebih tepat disebut "source available" daripada "open source" kali ya
6. Vendor - vendor smartphone hanya merilis update Android dalam kurun waktu terbatas, jika di waktu kedepan ditemukan vulnerability2 baru. Smartphone2 yang sudah tidak mendapat update akan "left vulnerable, waiting to be exploited"
7. Vulnerability dan backdoor2 lain belum ketahuan
Oleh karena itu saya tidak heran klo ada komunikasi WhatsApp(atau Signal atau Telegram) yang disadap meskipun digembar-gemborkan memakai end-to-end encryption, terutama jika orang tersebut ditarget oleh intelejen. Sadap kode aktifasi atau menggunakan point no 1 di atas untuk merekam apa yang ditulis atau install malware di hp target atau ambil file database dan encryption private key WA/Signal/Telegram untuk decryption-nya menggunakan point no. 2.
Mirisnya banyak perusahaan-perusahaan yang latah membuat app - app yang berhubungan dengan keuangan atau yang memerlukan fitur keamanan yang tinggi dengan mengasumsikan bahwa Android itu secure, salah satu contohnya yang baru-baru ini yang saya tau adalah aplikasi "taspen otentikasi", tanpa meneliti lebih lanjut terlebih dahulu keamanan Android.
Ini bukan teori konstipasi loh ya, ini fakta ! dan memang terlihat seperti paranoid, namun ini adalah "reasonable paranoia"
Sorry klo kepanjangan dan oot ! piss
Saya cmn ingin sharing tambahan, klo smartphone itu bisa berfungsi sebagai alat sadap portable. Android itu tidak aman !
Coba search hal2 berikut di search engine :
1. Android cloak and dagger : vulnerability yang memungkinkan seseorang membuat keylogger,phising dan remotely install app yang tidak memerlukan root permission dan persetujuan user. Google menolak untuk memperbaikinya hingga saat ini dengan alasan "it is a feature, working as intended" !
2. libsec ril backdoor : backdoor yang ditanam di Samsung Nexus dan Galaxy, dengan ini seseorang bisa membaca, memodifikasi dan mendelete file2 yang ada di Android melalui komunikasi gsm. Ini backdoor yang ketahuan, yang tidak ketahuan pasti lebih banyak lagi. Dengan ini penyerang dapat mengakses,memodifikasi dan mendelete semua file di Android remotely, karena backdoor ini biasanya running dengan root privilege. Namun hal ini sulit dilakukan, mungkin hanya terbatas pada agen2 intelijen, namun tidak menutup kemungkinan dilakukan lainnya.
4. Android scanning wi fi even turned off: Android tetap scanning access point meskipun kita mematikan wifi. Terlebih lagi, Android men-spoof mac address wifi device yang sebenarnya. Klo ini saya pribadi pernah mengalami, waktu itu sedang mainan airodump-ng (bagian dari airkrack-ng) di komputer Linux tiba2 mac address wifi hp saya muncul, tetapi tidak di-spoof saat itu, jd ketahuan. Lupa spoof kali ya
. Dengan ini dapat mengetahui lokasi seseorang meskipun gps dan gsm dimatikan. Search : bssid location lookup5. Android adalah open source, namun yang berhak memodifikasi source codenya, mengcompile, dan kemudian merilisnya dengan nama Android hanyalah Google. Jika orang lain di luar Google ingin melakukannya harus dengan nama lain, semisal Lineage OS. Itulah kenapa point no 1 tidak di-patch di Android karena Google tidak setuju. Lebih tepat disebut "source available" daripada "open source" kali ya
6. Vendor - vendor smartphone hanya merilis update Android dalam kurun waktu terbatas, jika di waktu kedepan ditemukan vulnerability2 baru. Smartphone2 yang sudah tidak mendapat update akan "left vulnerable, waiting to be exploited"
7. Vulnerability dan backdoor2 lain belum ketahuan
Oleh karena itu saya tidak heran klo ada komunikasi WhatsApp(atau Signal atau Telegram) yang disadap meskipun digembar-gemborkan memakai end-to-end encryption, terutama jika orang tersebut ditarget oleh intelejen. Sadap kode aktifasi atau menggunakan point no 1 di atas untuk merekam apa yang ditulis atau install malware di hp target atau ambil file database dan encryption private key WA/Signal/Telegram untuk decryption-nya menggunakan point no. 2.
Mirisnya banyak perusahaan-perusahaan yang latah membuat app - app yang berhubungan dengan keuangan atau yang memerlukan fitur keamanan yang tinggi dengan mengasumsikan bahwa Android itu secure, salah satu contohnya yang baru-baru ini yang saya tau adalah aplikasi "taspen otentikasi", tanpa meneliti lebih lanjut terlebih dahulu keamanan Android.
Ini bukan teori konstipasi loh ya, ini fakta ! dan memang terlihat seperti paranoid, namun ini adalah "reasonable paranoia"
Sorry klo kepanjangan dan oot ! piss
dosetdaram17 memberi reputasi
1
Tutup