Membobol Data Ponsel Tak Serumit itu Ferguso!

1

Di era digital, keamanan data pribadi sudah seharusnya menjadi isu yang menjadi perhatian masyarakat. Bukan hanya karena transaksi keuangan yang banyak dilakukan secara daring. Akan tetapi demi melindungi modus kejahatan. Data pribadi tersimpan dalam peladen, memungkinkan diakses oleh mereka yang memiliki kemampuan.

SUDAH banyak contoh kasus dan peristiwa peretasan terjadi di Indonesia. Mulai dari modus keuangan, sampai tingkat paling tinggi: politik. Itu bisa terjadi, karena ternyata meretas data pribadi melalui nomor ponsel tak susah-susah amat. Bahkan juga tak mahal.

Kenyataan itu terungkap ketika seorang ahli sistem keamanan website, memberikan layanan hacking diri sendiri dengan tarif ‘seikhlasnya’.

Yang dimaksud hacking diri sendiri itu begini. Taruhlah kita ingin menguji keandalan sistem pelindung  data pribadi. Maka kita perlu orang untuk mengujinya?

Isu ini ramai dan menimbulkan kontroversi, ketika  konsultan keamanan siber lainnya, Teguh Ariyanto, membongkar fenomena itu. Pendiri Cyber Security Researcher and Consultant, menuding seseorang bernama Zul Amri melakukan pemerasan dengan cara membongkar data pribadi seseorang.

Tuduhan itu diungkap Teguh Aprianto pada akun twitternya @secgron. Ia mencuit pengalaman seseorang yang ponselnya diretas dan membaca isi pesan singkatnya.

Kepada Teguh, korban yang mengaku bernama Daryl membeberkan bukti foto surat elektronik (e-mail) yang mencantumkan sejumlah data rahasia dari isi ponselnya. Data itu berbentuk one time password (OTP) yang biasa dikirim secara otomatis dari layanan e-commerce atau aplikasi lain sebagai pengganti password. OTP juga berfungsi sebagai pengamanan berlapis pada suatu aplikasi.

Pada bagian akhir surel, terdapat kalimat, “Layanan ini tidak gratis. Silakan transfer biaya jasa retas account diri sendiri ke rekening B**/bisa 1 juta, 500 ribu, atau seikhlas anda.”

Teguh menduga ada upaya pemerasan dengan mengakses isi ponsel korban menggunakan aplikasi internal milik salah satu operator seluler di Indonesia. Tak hanya mengakses isi pesan, peretas dituduh membajak akun aplikasi transportasi online. Lalu memesan makanan. Ia juga disebut mengajukan pinjaman online dengan nomor ponsel korban.

Teguh mempertanyakan, bagaimana seseorang yang bukan karyawan bisa mengakses aplikasi internal dan data sensitif milik pelanggannya.

Ia berasumsi bahwa celah keamanan itu bisa dari operator langsung atau dari aplikasi yang menyimpan nomor korban. Seperti e-commerce hingga aplikasi peminjaman online.

“Jika ini bisa dilakukan oleh siapapun, maka setiap orang rentan untuk dibajak semua akun miliknya,” ujar Teguh dalam cuitannya.

Namun tuduhan itu dibantah. Seorang pengguna Twitter menautkan akun @Bang_Amri yang disebut sebagai peretas.

@Bang_Amri menampilkan profil sebagai programmer, webmaster dan ahli website security system. Warganet ramai-ramai membela akun ini dari tuduhan pemerasan.

Bang Amri sendiri membalas cuitan itu lalu membagikan sebuah tautan ke Facebook yang berisi klarifikasinya. Ia menjelaskan, peretasan itu dilakukan karena Daryl meminta dirinya menguji keamanan siber Daryl. Audit keamanan siber itu dilakukan dengan cara peretasan untuk menguji celah keamanan siber.

Bang_Amri sendiri memang secara terbuka membuka jasa hack dengan bayaran seikhlasnya dari konsumen. Ia juga mengatakan peretasan yang dilakukan ke Daryl telah melalui persetujuan dari pihak yang bersangkutan.

“Ini bagaimana bisa dibilang blackmail (pemerasan)? wong dia sendiri yang isi (formulir). Dia (Daryl) sendiri yang minta. Dia pula yang nangis-nangis teriak blackmail,” kata Bang_Amri.

Bercerita soal peretasan yang ia lakukan, Bang_Amri mengatakan sangat mudah untuk meretas Daryl karena klien hanya menggunakan satu password untuk semua akun yang dimiliki.

Soal mengakses isi SMS,  karena ia berhasil masuk ke akun layanan penyimpanan awan. Bukan dari Telkomsel. Bang_Amri mengungkap bahwa layanan cloud menyimpan semua data dari ponsel seseorang.

“Dari galeri sampai dengan daftar kontak, termasuk SMS. Cloud itulah sumber dari isi laporan yang saya berikan ke dia,” kata Bang_Amri.

Bang_Amri turut memberikan bukti foto data korban yang didaftarkan di jasa retas tersebut. Lengkap dengan nomor ponsel, jenis ponsel, dan alamat surel. Ia berdalih, dari ratusan pesanan yang dikerjakan, hanya Daryl yang komplain dan berbalik menuduh melakukan pemerasan.

KASUS SERUPA DI BALIKPAPAN

Tak terkait dengan kasus di atas, seorang pengguna ponsel di Balikpapan melaporkan nomornya diakses dari banyak kota. Berdasarkan penelusuran, nomor yang sama juga dipakai di Bontang, Balikpapan, Samarinda, Makassar, Rawangboeta dan Sangatta. 

Nomor telepon yang berfungsi sebagai hotline itu tak bisa dikontak secara langsung.

“Sampai hari ini, pemilik nomor hanya bisa menghubungi melalui WhatsApp,” kata seorang warga.

Selain persoalan itu, banyak pengguna ponsel mengeluhkan adanya pengiriman iklan dan penawaran yang menyasar ke nomor ponsel. Sayangnya, konsumen hanya bisa pasrah dan membiarkan notifikasi tak penting masuk ponsel mereka. Berbeda dengan anggota Ombudsman, Alvin Lie, yang memilih jalur pengadilan.

BEGINI CEGAH PERETASAN

Meski teknologi keamanan semakin canggih, namun peretas masih punya celah memasuki system ponsel korbannya. Sebagai seorang peretas, Bang_Amri berbaik hati membagikan trik meminimalisasi potensi peretasan akun pribadi.

Ada dua langkah penting yang bisa dilakukan. Pertama, penggunaan antivirus. Aplikasi ini berfungsi mencegah masuknya malware dan virus yang dapat membuka celah peretasan.

Kedua, tidak menggunakan satu password untuk semua akun. Jika peretas dapat membuka akses database di salah satu web, di dalamnya ada yang disebut hash Message-Digest algorithm 5 (MD5).

Dalam kriptografi atau enkripsi, MD5 digunakan untuk menyandikan username maupun password sebuah akun dalam database.  Jika peretas dapat memecahkan sandinya, siap-siap akun pribadi anda dapat diakses secara ilegal.

Sementara Teguh yang juga pendiri Ethical Hacker Indonesia, dalam cuitan berikutnya mengingatkan warganet untuk mulai meninggalkan two step verification menggunakan pesan singkat atau OTP.

Ia meminta agar pengguna mulai beralih menggunakan aplikasi seperti Google Authenticator, Microsoft Authenticator, maupun Duo Mobile. Penggunaan aplikasi tersebut dapat meminimalisasi potensi peretasan yang serupa melalui pesan singkat.  

SANGGAHAN TELKOMSEL

Menanggapi adanya peretasan yang dialami seorang penggunanya, Vice President Corporate Communications Telkomsel Denny Abidin menyatakan Telkomsel memastikan dan menjamin hingga saat ini data pelanggan yang tersimpan dalam sistem tetap aman dan terjaga kerahasiaannya.

“Telkomsel memastikan saat ini sistem kemananan seluruh operasional perangkat berfungsi normal dan tidak terdeteksi adanya peretasan,” katanya dalam pesan yang diterima redaksi.

Koroporat juga secara konsisten menerapkan sistem pengamanan, termasuk operasional sistem perlidungan dan keamanan data pelanggan dengan prosedur standar operasional tersertifikasi sesuai dengan ketentuan yang berlaku di industri telekomunikasi di Indonesia. Dan terakhir, Telkomsel mengimbau masyarakat menjaga kerahasiaan data pribadi, termasuk informasi password, PIN ataupun OTP yang digunakan sebagai verifikasi akses layanan digital. (zul/fey/yos)

Share this :

Leave A Reply