Programer "Melek" Keamanan pun Kebobolan Peretas

Selain peretasan berskala besar itu, ada juga peretasan berskala kecil yang umumnya mengincar pemilik mata uang digital bitcoin atau pemilik kartu kredit.

Pertanyaannya adalah, bagaimana sebenarnya cara peretas itu masuk? Terutama mengingat setiap pemilik akun yang dijebol itu pasti sudah mempersiapkan banyak hal untuk mengamankan data-data berharganya.

Berikut ini, dirangkum KompasTekno dari The Verge, Kamis (5/3/2015), adalah sekelumit pengalaman Partap Davis tentang upayanya menemukan peretas yang mencuri bitcoin senilai 3.000 dollar AS miliknya.

Davis mengetahui uang digital itu hilang saat bangun di pagi hari, 21 Oktober 2014. Bukan cuma uang digital saja, dua akun e-mail, ponsel, akun Twitter, hingga pengamanan dua tahap yang dia pasang sudah jebol seluruhnya.

Padahal sebelumnya tak ada tanda-tanda keanehan. Malam itu pun dia tertidur sekitar pukul 2 dini hari di rumahnya, Alburqueque, New Mexico, usai memainkan game World of Tanks.

Davis termasuk orang yang rapi dalam hal keamanan digital. Password pilihannya rumit dan tidak pernah mengklik tautan tipuan. Pria yang sehari-hari hidup sebagai programer itu pun memasang two-factor authentication (pengamanan dua lapis) menggunakan Gmail.

Setiap kali dia ingin membuka e-mail dari komputer baru, dia wajib memasukkan enam digit angka yang dikirimkan langsung ke ponselnya. Enam digit angka itu harus dia masukkan untuk memastikan dirinyalah yang sedang berusaha membuka e-mail.

Bitcoin senilai 3.000 dollar AS yang hilang itu pun terlindung dengan metode pengamanan serupa. Setiap kali dia ingin mengakses dompet bitcoin miliknya pengelola bernama Coinbase, Bitstamp atau BTC-E, Davis harus memasukan kode yang diperoleh melalui aplikasi Authy.

Setelah uang digital itu kandas, pria berusia 40 tahun itu berusaha melacak pencurinya. Davis mencari jawaban untuk pertanyaan, bagaimana bisa seseorang menjebol seluruh pertahanan cyber yang sudah dipasangnya?

Mulai dari e-mail

Sebut saja peretas itu bernama Eve. Dalam perburuannya, Davis menemukan bahwa Eve berhasil menjebol sistem keamanannya mulai dari akun e-mail baru merambat ke akun-akun lain dan bitcoin incarannya.

Selama ini, Davis menggunakan akun e-mail yang dikelola Mail.com. Akun beralamat di Partap@mail.com itu diatur agar otomatis mengirimkan seluruh surat ke akun Gmail milik Davis.

Sekitar 21 Oktober, pukul 2 dini hari, alur pengiriman otomatis itu putus. Eve telah berhasil masuk dan mengubah pengaturan e-mail milik Davis. Peretas itu pun menyelipkan sebuah nomor telepon baru pada akun Partap@mail.com, kemudian sebuah alamat e-mail back-up baru bernama swagger@mailinator.com.

Bagaimana cara Eve menjebol password sebuah akun e-mail? Belum ada yang bisa memastikan hal itu. Kemungkinan terbesar adalah peretas itu menggunakan script yang berfungsi membongkar kelemahan di halaman reset password milik Mail.com.

Script seperti ini memang ada. Umumnya, script itu dijual dengan oleh pengguna situs Hackforum dengan tujuan me-reset password akun spesifik Mail.com. Namun hingga kini tak diketahui bagaimana cara peretas itu memanfaatkan kelemahan Mail.com atau sudahkah kelemahan itu diperbaiki.

Kelemahan dalam sebuah program memang wajar ditemukan. Biasanya, kelemahan seperti ini disebut bug dan para pengembang selalu berusaha memperbaikinya.

Jebolnya akun Davis, melalui e-mail ini merupakan tanda betapa pentingnya memperhatikan kelemahan di dalam sebuah layanan atau aplikasi. Eve, yang entah bagaimana bisa mengubah password akun e-mail Davis, memanfaatkan kelemahan itu.

Langkah Eve berikutnya adalah mengambil alih nomor telepon Davis. Bagaimana caranya melakukan hal itu? Simak cerita Partap Davis berikutnya.