Peretasan Bukalapak: Mampukah Blockchain Atasi Pencurian Data?

Dimaz Ankaa Wijaya
Peneliti pada Blockchain Research Joint Lab Universitas Monash, Australia

Sudah seminggu ini laman berita mainstream, baik nasional maupun internasional menurunkan berita tentang peretasan beberapa situs raksasa dari berbagai penjuru dunia. Sebenarnya berita peretasan bukanlah hal yang abnormal di era digital sekarang ini. Namun, hal yang menarik adalah munculnya nama situs nasional di berita kali ini: Bukalapak.

Bukalapak sendiri dalam beberapa tahun belakangan digadang-gadang sebagai salah satu unicorn startup nasional, dengan jumlah pengguna mencapai jutaan orang. Bisnis e-commerce yang marak di Indonesia telah memberi peluang besar bagi Bukalapak untuk menancapkan usahanya, dan memang terbukti sukses.

Hampir setiap saat situs-situs semacam ini mengalami serangan dari pihak-pihak yang tidak bertanggung jawab, atau popular dengan sebutan hacker (peretas). Para peretas ini “bernafsu” untuk membobol situs dan menyalin informasi yang disimpan dalam server-server milik penyedia layanan, karena insentif ekonomi yang bisa mereka dapatkan. Insentif ini, tentu saja, berasal dari penjualan informasi berharga, utamanya terkait dengan data-data pengguna seperti username dan alamat surel, namun tidak jarang pula alamat rumah dan nomor telepon dapat terjaring oleh peretas.

Bukalapak hingga saat ini belum mengakui bahwa sistem mereka telah diretas. Hal ini sangat disayangkan karena semestinya pelaporan insiden ini harus dilakukan oleh pihak manapun yang menyelenggarakan jasa sistem informasi kepada pihak yang telah ditunjuk, demi pelaksanaan mitigasi atas persoalan yang ada.

Terkait dengan mitigasi risiko peretasan data, dapatkah blockchain memberikan solusi yang tepat?

Sebelum menjawab pertanyaan ini tentu saja harus terlebih dahulu dijabarkan nilai tambah blockchain terhadap sebuah sistem. Blockchain adalah mekanisme untuk melindungi informasi yang sudah tersimpan dari perubahan yang tidak mendapatkan otorisasi.

Fitur ini didapatkan dengan cara menghubungkan antara satu blok dengan blok lainnya, sehingga diperlukan usaha tambahan untuk mengubah informasi di dalam sebuah blok yang sudah “tertindih” oleh blok-blok yang lebih baru, di mana semua blok yang lebih baru harus pula diubah. Inilah mengapa teknologi blockchain dianggap orang sebagai teknologi yang menyediakan fitur “immutable” atau permanen. Blockchain menjaga integritas data

Selain itu, fasilitas jaringan peer-to-peer yang disematkan ke dalam teknologi blockchain membuat seluruh informasi dalam blockchain dapat disalin dengan mudah ke dalam server yang lain. Tak hanya itu, informasi-informasi baru dapat dengan segera didapatkan oleh semua server yang saling terhubung. Dengan cara ini, sebuah server yang mengalami serangan hingga tak lagi mampu menyediakan layanan, dapat digantikan oleh server yang lain seketika itu juga. Blockchain dalam hal ini menjaga ketersediaan data.

Peretasan dan pencurian data adalah persoalan dalam menjaga kerahasiaan data (confidentiality) serta eskalasi hak akses (elevation of privilege). Apabila kita telaah kembali, dua fitur blockchain tidak mencakup perlindungan terhadap kerahasiaan data ataupun terhadap hak akses. Hal ini tentu saja dikuatkan dengan kenyataan bahwa seluruh informasi di dalam blockchain dapat dilihat oleh pihak-pihak yang terkait. Dengan demikian, kerahasiaan data bukanlah sesuatu yang dapat ditingkatkan dengan memanfaatkan teknologi blockchain.

Namun demikian, kerahasiaan data bukanlah sesuatu yang asing dalam teknologi blockchain. Kriptografi yang umumnya digunakan untuk merahasiakan informasi, sangat masif diterapkan dalam blockchain. Monero misalnya, mampu menyembunyikan jumlah dana yang ditransaksikan dengan metode enkripsi tanpa kehilangan makna sebagai sebuah alat tukar.

Teknologi ini kerap disebut dengan Confidential Transaction, sebuah sistem yang pertama kali diperkenalkan oleh Gregory Maxwell pada tahun 2015. Tidak hanya menyembunyikan jumlah dana, teknologi dalam Monero juga kini mampu menyembunyikan informasi tambahan terkait dengan transaksi yang mungkin harus ditambahkan oleh si pengirim agar sang penerima dana mengetahui dari mana dana tersebut berasal, tanpa harus menyebutkan jati diri asli si pengirim. Teknologi ini disebut dengan integrated address.

Persoalan eskalasi hak akses, di sisi lain, merupakan sebuah persoalan yang barangkali amat langka ditemukan dalam sistem blockchain. Blockchain yang menganut sistem konsensus akan memberikan hak menulis informasi baru kepada siapapun yang memenangi konsensus pada setiap putaran. Dengan konsensus, semua pihak akan bersaing satu sama lain untuk mendapatkan hak menulis ini, yang kemudian akan mendapatkan upah yang cukup tinggi.

Sistem blockchain tidak mengizinkan penulisan informasi baru tanpa melalui konsensus yang sah. Namun demikian, bukan berarti tidak ada trik-trik kotor untuk mengakali konsensus. Sebut saja 51% attack atau selfish mining, dua teknik umum yang bisa digunakan oleh penyerang untuk mencurangi konsensus.

Blockchain barangkali memang bukan jawaban ultimate terhadap risiko peretasan dan pencurian data. Namun, kita juga dapat belajar satu atau dua teknik yang sukses diterapkan dalam sistem blockchain untuk menjaga kerahasiaan data. Atau, bisa jadi di masa depan akan muncul sistem blockchain untuk mendukung lingkungan e-commerce secara terdesentralisasi, sehingga tidak ada pihak sentral yang memegang kendali informasi para penggunanya