Cerita ini bermula dari permintaan
tolong kawan saya. Ia mengeluh bahwa acountnya mulai dari facebook, blog
hingga sejumlah email diambil alih orang. Orang iseng itu mengirimkan
berita, mengubah status, mengganti foto profile, dll dengan
mengatasnamakan kawan itu.
Saya pun memulai mencari tahu darimana
asalnya penjebolan itu bermula. Selidik punya selidik ternyata kawan
saya ini punya satu email account yang menjadi pusat seluruh
aktivitasnya. Dan jika email itu bobol maka dengan mudah si orang iseng
bisa masuk account kawan saya di mana saja.
Lantas bagaimana cara orang itu
mendapatkan password kawan saya? Sementara Dia mengaku hanya membuka
emailnya di kantor dan di laptopnya, jadi tidak mungkin ia lupa logout
di suatu tempat. Ia selalu membuka email melalui adress bar yang benar,
jadi tidak mungkin kena phising. Saya pun langsung menuduh bahwa
latopnya atau komputer kantornya mengandung software keylogger yang bisa
mencuri password.
IT kantornya turun tangan untuk
membersihkan semua program yang mencurigakan. Password yang sudah
diganti pun di retrive melalui email cadangan. Selesai? Tidak! Hanya
bertahan beberapa jam, emailnya kembali dikuasai, orang tak bertanggung
jawab.
Saya pun putar otak, mengira-ngira
metode apa yang digunakan pencuri password ini, supaya kita bisa bikin
penangkalnya. Menurut saya sites sebesar yahoo masih sangat sulit kalau
dicuri passwordnya dari dalam, jadi pasti lewat aktivitas diluar. Tapi
semua kemungkinan sudah dicoba dan masih bisa ditembus juga.
Akhirnya saya justru mencoba langkah
paling sederhana. Dan sepertinya ini cara orang tersebut memperoleh
passwordnya. Pertama masuk ke halaman login yahoo seperti di bawah ini
dan klik bagian I can’t acess my account:
Munculah sejumlah pilihan. Klik di opsi nomor dua, My password doesn’t work.
Masukan ID yang hendak dibobol klik next dan lalu pilih opsi kedua I can’t access any of the above
Proses yahoo setelahnya adalah kita
akan dihadapkan pada dua buah pertanyaan security yang dibuat oleh kawan
saya ini. Kalau dua buah pertanyaan itu bisa saya jawab, maka saya di
berikan form untuk mengisi password baru dan password yang lama tak
berlaku lagi. Pertanyaan pertama siapa nama panggilan kamu? Dan
pertanyaan kedua dimana kamu tinggal?
Okay, saya tinggal buka facebook. Profile kawan saya ini terbuka untuk public. Taruhlah sebagai contoh nama lengkapnya adalah:
Amir surya atmaja. Maka saya bisa
menebak jawaban pertanyaan pertama: kemungkinan pertama adalah amir,
kedua surya, ketiga atmaja.
Saya pun lolos ke pertanyaan kedua.
Masih dari facebook, kawan saya ini mengisi hometown dengan Semarang.
Maka untuk jawaban kedua saya isi Semarang.
Dan saya pun berhasil menerima form perubahan pasword seperti ini
Isi password baru dan saya pun memiliki
kuasa atas seluruh accountnya. Klik lost password facebook, pasword pun
dikirim ke email itu. Klik lost password blog, dan email pun dikirim ke
email itu juga. Mudahkan? Apa berlaku untuk account lain? Saya coba test
di tiga account orang lain.
Ada yang mengisi dengan pertanyaan
“siapa nama binatang peliharaan kamu? Dan seperti biasa orang penyayang
binatang lainnya, orang ini menempatkan foto kucing kesayangannya di
facebook dan terbuka untuk public. Foldernya berjudul si belang yang
imut. Anda bisa tebak sendiri jawaban pertanyaannya.
Ada yang lain mengisi dengan pertanyaan
“siapa nama ibu kandung kamu?” Okay lagi-lagi lihat profile facebook,
bagian parentsnya diisi. Dengan Siti Maemunah dan Djaelani. Bisa ditebak
juga toh jawabannya.
Percobaan terakhir ada yang memasukan
pertanyaan “dimana anda dan pasangan anda bertemu?”. Pertanyaan ini
cukup sulit? Ternyata di salah satu folder facebooknya ada kumpulan
fotonya berserta pacar dengan judul, berawal dari Gumati Bogor berakhir
dengan cinta. Okay saya coba bogor gak tembus, ternyata jawabannya
Gumati!
Lantas kenapa saya cerita disini? Jelas
bukan untuk ditiru dan mengajarkan mencuri data-data. Saya cuma sekedar
mewanti-wanti, sudahkah kawan-kawan sekalian memberi security question
yang benar-benar sulit ditembus? Apalagi kalau profile facebooknya untuk
public, pikir ulang deh security question yang kamu buat. Saya saja
yang gak kenal dengan tiga account terakhir bisa menembusnya, apalagi
kalau kenal dekat. Karena ternyata aksi penjebolan yang dilakukan itu
sangat sederhana dan gak perlu alat neko-neko. Terbukti setelah security
questionnya diganti, account kawan saya pun aman. Makanya Kitalah yang
harus hati-hati!
Update: Sebagai catatan terakhir, dua
security question itu bukan pertanyaan untuk mengingat password (itu
kenapa yang dipilih adalah my password doesnt work). Bisa saja misalnya
password kita “gajah”. tapi security question pertamanya nama ibu kita,
dan security question keduanya tempat kita tinggal. Ketika saya bisa
menjawab keduanya, saya tidak perlu tahu password “gajah” yang awal saya
sudah bisa mengubah passwordnya. Jadi percuma pakai password yang kuat
kalau security questionnya ternyata lemah.
Tidak ada komentar:
Posting Komentar