Cerita ini bermula dari permintaan tolong kawan saya. Ia mengeluh bahwa acountnya mulai dari facebook, blog hingga sejumlah email diambil alih orang. Orang iseng itu mengirimkan berita, mengubah status, mengganti foto profile, dll dengan mengatasnamakan kawan itu.
Saya pun memulai mencari tahu darimana asalnya penjebolan itu
bermula. Selidik punya selidik ternyata kawan saya ini punya satu email
account yang menjadi pusat seluruh aktivitasnya. Dan jika email itu
bobol maka dengan mudah si orang iseng bisa masuk account kawan saya di
mana saja.
Lantas bagaimana cara orang itu mendapatkan password kawan saya?
Sementara Dia mengaku hanya membuka emailnya di kantor dan di laptopnya,
jadi tidak mungkin ia lupa logout di suatu tempat. Ia selalu membuka
email melalui adress bar yang benar, jadi tidak mungkin kena phising.
Saya pun langsung menuduh bahwa latopnya atau komputer kantornya
mengandung software keylogger yang bisa mencuri password.
IT kantornya turun tangan untuk membersihkan semua program yang
mencurigakan. Password yang sudah diganti pun di retrive melalui email
cadangan. Selesai? Tidak! Hanya bertahan beberapa jam, emailnya kembali
dikuasai, orang tak bertanggung jawab.
Saya pun putar otak, mengira-ngira metode apa yang digunakan pencuri
password ini, supaya kita bisa bikin penangkalnya. Menurut saya sites
sebesar yahoo masih sangat sulit kalau dicuri passwordnya dari dalam,
jadi pasti lewat aktivitas diluar. Tapi semua kemungkinan sudah dicoba
dan masih bisa ditembus juga.
Akhirnya saya justru mencoba langkah paling sederhana. Dan sepertinya
ini cara orang tersebut memperoleh passwordnya. Pertama masuk ke
halaman login yahoo seperti di bawah ini dan klik bagian I can’t acess
my account:
Munculah sejumlah pilihan. Klik di opsi nomor dua, My password doesn’t work.
Masukan ID yang hendak dibobol klik next dan lalu pilih opsi kedua I can’t access any of the above
Proses yahoo setelahnya adalah kita akan dihadapkan pada dua buah
pertanyaan security yang dibuat oleh kawan saya ini. Kalau dua buah
pertanyaan itu bisa saya jawab, maka saya di berikan form untuk mengisi
password baru dan password yang lama tak berlaku lagi. Pertanyaan
pertama siapa nama panggilan kamu? Dan pertanyaan kedua dimana kamu
tinggal?
Okay, saya tinggal buka facebook. Profile kawan saya ini terbuka untuk public. Taruhlah sebagai contoh nama lengkapnya adalah:
Amir surya atmaja. Maka saya bisa menebak jawaban pertanyaan pertama:
kemungkinan pertama adalah amir, kedua surya, ketiga atmaja.
Saya pun lolos ke pertanyaan kedua. Masih dari facebook, kawan saya
ini mengisi hometown dengan Semarang. Maka untuk jawaban kedua saya isi
Semarang.
Dan saya pun berhasil menerima form perubahan pasword seperti ini
Isi password baru dan saya pun memiliki kuasa atas seluruh
accountnya. Klik lost password facebook, pasword pun dikirim ke email
itu. Klik lost password blog, dan email pun dikirim ke email itu juga.
Mudahkan? Apa berlaku untuk account lain? Saya coba test di tiga account
orang lain.
Ada yang mengisi dengan pertanyaan “siapa nama binatang peliharaan
kamu? Dan seperti biasa orang penyayang binatang lainnya, orang ini
menempatkan foto kucing kesayangannya di facebook dan terbuka untuk
public. Foldernya berjudul si belang yang imut. Anda bisa tebak sendiri
jawaban pertanyaannya.
Ada yang lain mengisi dengan pertanyaan “siapa nama ibu kandung
kamu?” Okay lagi-lagi lihat profile facebook, bagian parentsnya diisi.
Dengan Siti Maemunah dan Djaelani. Bisa ditebak juga toh jawabannya.
Percobaan terakhir ada yang memasukan pertanyaan “dimana anda dan
pasangan anda bertemu?”. Pertanyaan ini cukup sulit? Ternyata di salah
satu folder facebooknya ada kumpulan fotonya berserta pacar dengan
judul, berawal dari Gumati Bogor berakhir dengan cinta. Okay saya coba
bogor gak tembus, ternyata jawabannya Gumati!
Lantas kenapa saya cerita disini? Jelas bukan untuk ditiru dan
mengajarkan mencuri data-data. Saya cuma sekedar mewanti-wanti, sudahkah
kawan-kawan sekalian memberi security question yang benar-benar sulit
ditembus? Apalagi kalau profile facebooknya untuk public, pikir ulang
deh security question yang kamu buat. Saya saja yang gak kenal dengan
tiga account terakhir bisa menembusnya, apalagi kalau kenal dekat.
Karena ternyata aksi penjebolan yang dilakukan itu sangat sederhana dan
gak perlu alat neko-neko. Terbukti setelah security questionnya diganti,
account kawan saya pun aman. Makanya Kitalah yang harus hati-hati!
Update: Sebagai catatan terakhir, dua security question itu bukan
pertanyaan untuk mengingat password (itu kenapa yang dipilih adalah my
password doesnt work). Bisa saja misalnya password kita “gajah”. tapi
security question pertamanya nama ibu kita, dan security question
keduanya tempat kita tinggal. Ketika saya bisa menjawab keduanya, saya
tidak perlu tahu password “gajah” yang awal saya sudah bisa mengubah
passwordnya. Jadi percuma pakai password yang kuat kalau security
questionnya ternyata lemah.
0 Komentar Anjeun:
Posting Komentar