Cerita
ini bermula dari permintaan tolong kawan saya. Ia mengeluh bahwa acountnya
mulai dari facebook, blog hingga sejumlah email diambil alih orang. Orang iseng
itu mengirimkan berita, mengubah status, mengganti foto profile, dll dengan
mengatasnamakan kawan itu.
Saya
pun memulai mencari tahu darimana asalnya penjebolan itu bermula. Selidik punya
selidik ternyata kawan saya ini punya satu email account yang menjadi pusat
seluruh aktivitasnya. Dan jika email itu bobol maka dengan mudah si orang iseng
bisa masuk account kawan saya di mana saja.
Lantas
bagaimana cara orang itu mendapatkan password kawan saya? Sementara Dia mengaku
hanya membuka emailnya di kantor dan di laptopnya, jadi tidak mungkin ia lupa
logout di suatu tempat. Ia selalu membuka email melalui adress bar yang benar,
jadi tidak mungkin kena phising. Saya pun langsung menuduh bahwa latopnya atau
komputer kantornya mengandung software keylogger yang bisa mencuri password.
IT
kantornya turun tangan untuk membersihkan semua program yang mencurigakan.
Password yang sudah diganti pun di retrive melalui email cadangan. Selesai?
Tidak! Hanya bertahan beberapa jam, emailnya kembali dikuasai, orang tak bertanggung
jawab.
Saya
pun putar otak, mengira-ngira metode apa yang digunakan pencuri password ini,
supaya kita bisa bikin penangkalnya. Menurut saya sites sebesar yahoo masih
sangat sulit kalau dicuri passwordnya dari dalam, jadi pasti lewat aktivitas
diluar. Tapi semua kemungkinan sudah dicoba dan masih bisa ditembus juga.
Akhirnya
saya justru mencoba langkah paling sederhana. Dan sepertinya ini cara orang
tersebut memperoleh passwordnya. Pertama masuk ke halaman login yahoo seperti
di bawah ini dan klik bagian I can’t acess my account:
hack yahoo
Munculah
sejumlah pilihan. Klik di opsi nomor dua, My password doesn’t work.
curi password yahoo
Masukan
ID yang hendak dibobol klik next dan lalu pilih opsi kedua I can’t access any
of the above
membobol yahoo
Proses
yahoo setelahnya adalah kita akan dihadapkan pada dua buah pertanyaan security
yang dibuat oleh kawan saya ini. Kalau dua buah pertanyaan itu bisa saya jawab,
maka saya di berikan form untuk mengisi password baru dan password yang lama
tak berlaku lagi. Pertanyaan pertama siapa nama panggilan kamu? Dan pertanyaan
kedua dimana kamu tinggal?
Okay,
saya tinggal buka facebook. Profile kawan saya ini terbuka untuk public.
Taruhlah sebagai contoh nama lengkapnya adalah:
Amir
surya atmaja. Maka saya bisa menebak jawaban pertanyaan pertama: kemungkinan
pertama adalah amir, kedua surya, ketiga atmaja.
Saya
pun lolos ke pertanyaan kedua. Masih dari facebook, kawan saya ini mengisi
hometown dengan Semarang. Maka untuk jawaban kedua saya isi Semarang.
Dan
saya pun berhasil menerima form perubahan pasword seperti ini
form password yahoo
Isi
password baru dan saya pun memiliki kuasa atas seluruh accountnya. Klik lost
password facebook, pasword pun dikirim ke email itu. Klik lost password blog,
dan email pun dikirim ke email itu juga. Mudahkan? Apa berlaku untuk account
lain? Saya coba test di tiga account orang lain.
Ada
yang mengisi dengan pertanyaan “siapa nama binatang peliharaan kamu? Dan
seperti biasa orang penyayang binatang lainnya, orang ini menempatkan foto
kucing kesayangannya di facebook dan terbuka untuk public. Foldernya berjudul
si belang yang imut. Anda bisa tebak sendiri jawaban pertanyaannya.
Ada
yang lain mengisi dengan pertanyaan “siapa nama ibu kandung kamu?” Okay
lagi-lagi lihat profile facebook, bagian parentsnya diisi. Dengan Siti Maemunah
dan Djaelani. Bisa ditebak juga toh jawabannya.
Percobaan
terakhir ada yang memasukan pertanyaan “dimana anda dan pasangan anda
bertemu?”. Pertanyaan ini cukup sulit? Ternyata di salah satu folder facebooknya
ada kumpulan fotonya berserta pacar dengan judul, berawal dari Gumati Bogor
berakhir dengan cinta. Okay saya coba bogor gak tembus, ternyata jawabannya
Gumati!
Lantas
kenapa saya cerita disini? Jelas bukan untuk ditiru dan mengajarkan mencuri
data-data. Saya cuma sekedar mewanti-wanti, sudahkah kawan-kawan sekalian
memberi security question yang benar-benar sulit ditembus? Apalagi kalau
profile facebooknya untuk public, pikir ulang deh security question yang kamu
buat. Saya saja yang gak kenal dengan tiga account terakhir bisa menembusnya,
apalagi kalau kenal dekat. Karena ternyata aksi penjebolan yang dilakukan itu
sangat sederhana dan gak perlu alat neko-neko. Terbukti setelah security
questionnya diganti, account kawan saya pun aman. Makanya Kitalah yang harus
hati-hati!
Update:
Sebagai catatan terakhir, dua security question itu bukan pertanyaan untuk
mengingat password (itu kenapa yang dipilih adalah my password doesnt work).
Bisa saja misalnya password kita “gajah”. tapi security question pertamanya
nama ibu kita, dan security question keduanya tempat kita tinggal. Ketika saya
bisa menjawab keduanya, saya tidak perlu tahu password “gajah” yang awal saya
sudah bisa mengubah passwordnya. Jadi percuma pakai password yang kuat kalau
security questionnya ternyata lemah.
PS:
tiga account email yang saya jadikan contoh sudah saya kembalikan ke
pemiliknya
Tidak ada komentar:
Posting Komentar