Jakarta (PARADE.ID)- Praktisi keamanan siber yang juga pendiri komunitas Ethical Hacker Indonesia Teguh Aprianto membagikan cerita peretasan SMS yang menimpa seorang pengguna Telkomsel. Teguh menduga pelaku menggunakan tools internal Telkomsel untuk membaca SMS korban.
Cerita itu dibagikan Teguh lewat akun Twitter @segron miliknya pada Selasa (1 September 2020). Saat artikel ini ditulis, cuitannya sudah dibagikan ulang lebih lebih dari 8.000 pengguna Twitter lainnya.
Menurut Teguh, cerita bermula ketika dirinya dihubungi oleh korban bernama Daryl yang menyebut SMS yang masuk ke nomor pribadinya bisa dibaca oleh orang lain. Pelaku kemudian mengirimkan isi SMS itu ke emailnya dan meminta dikirimkan sejumlah uang rekening bank atas nama Zul Amri.
“Ketika korban memberikan bukti sebuah email, saya melihat data yang tak biasa. Si pemeras ini menggunakan tool internal milik @Telkomsel untuk membaca isi sms korbannya,” tulis Teguh sembari melampirkan tangkapan layar email yang diterima korban.
Sebagian dari pesan email yang dikirim pelaku ke email korban. Sumber: Twitter Teguh Apriyanto
Dalam email itu, pelaku mengirimkan sejumlah SMS yang diantaranya berisi kode password sekali pakai (one time password) dari e-commerce, dompet digital, dan perbankan.
“Karena pelaku dengan mudahnya mengakse isi sms korban, dia kemudian membajak akun Gojek korban dan melakukan orderan fiktif. Selain ituj juga mengajukan pinjaman onlikne. Ini bisa terjadi karena pelaku dengan mudah mengakses OTP yang dikirimkan ke SMS,” tulis Teguh.
Teguh kemudian meminta Telkomsel menjelaskan kepada publik bagaimana mungkin seseorang yang bukan karyawan bisa mengakses tool internal dan data sensitif korban.
“Jika ini bisa dilakukan oleh siapa pun, maka setiap orang rentan untuk dibajak semua akun miliknya,” tulis Teguh.
Setelah kisah itu viral, Zul Amri lewat akun Facebook-nya mengatakan hal itu dilakukan atas permintaan Daryl sendiri karena menggunakan jasanya yang disebutnya “jasa retas diri sendiri.”
Jasa itu, menurut Zul Amri, untuk mengetahui apakah data seseorang aman dari kebocoran data.
Namun, saat dikonfirmasi Cyberthreat.id, Darryl membantah keterangan Zul Amri. Darryl bilang, dirinya sama sekali tidak mengenal dan tidak pernah menggunakan “jasa retas diri sendiri” seperti yang dikatakan Zul Amri.
“Itu bohong mas. Saya tidak pernah mengenalnya, tidak pernah meminta dan tidak pernah mengisi formulir apa pun. Tiba-tiba saja dia kirim blackmail ke saya yang membeberkan isi SMS itu,” kata Darryl R Norbert.
Menurut Darryl, peristiwa itu terjadi Januari lalu. Lantaran merasa kaget, dia kemudian mencari tahu tentang Zul Amri dan menemukan datanya.
Akibat peretasan itu, Darryl mengatakan dirinya dikirimkan orderan Gojek fiktif, orderan dildo dari marketplace yang tak pernah dipesannya, hingga SMS notifikasi yang mengatakan dirinya telah mengajukan pinjaman online ke Bank Kalsel.
“Tapi saya tidak pernah melakukan semua itu. Logikanya saja, kalau benar saya melakukan itu, kenapa data saya digunakan untuk hal-hal negatif yang merugikan saya semacam itu. Lagi pula untuk apa saya retas diri sendiri. Itu hanya trik dia untuk membuat seolah-olah itu permintaan saya sendiri dan dia bisa bebas dari jerat hukum,” kata Darryl.
Perihal penggunaan data untuk order fiktif dan pinjaman online itu, dalam komunikasi sebelumnya lewat Facebook yang diunggah di Facebook-nya Darryl, Zul Amri menyiratkan dirinya memang melakukan hal itu.
“Gak kebalik bro, yang ngumpet siapa? Yang kirim email ke bini siapa? Eh, lu ama gw beda urusan, mending utang pinjol lo urus, apa perlu diorderin gofood tiap malem lagi? Atau dildo di marketplace?…” tulis Zul Amri.
Darryl lantas membalas komentar Zul Amri itu dengan mengatakan,”Baguslah ngaku ngelakuin itu semua, terbukti hacker gak ada etika, mau pinjol sampe ratusan juta, M sekalipun gak bakal gw urus, bukan pinjol gw. Yang lu lakjuin dah tindak pindana, pantas buat dibawa ke polisi…”
Tanggapan Telkomsel
Telkomsel sendiri dalam pernyataan tertulis yang dikirim ke redaksi media mengatakan menjamin keamanan data pelanggan di sistem mereka.
Menurut Denny Abidin, VP Corporate Communication Telkomsel, sistem keamanan mereka pun berfungsi normal dan tak terdeteksi adanya peretasan.
“Telkomsel secara konsisten telah menerapkan sistem pengamanan, termasuk operasional sistem perlidungan dan keamanan data pelanggan dengan prosedur standard operasional tersertifikasi sesuai dengan ketentuan yang berlaku di industri telekomunikasi di Indonesia,” kata Denny.
Telkomsel mengajak penggunanya untuk menjaga kerahasiaan data pribadinya, untuk menghindarkan kejadian-kejadian yang tak diinginkan.
“Telkomsel senantiasa menghimbau kepada masyarakat untuk menjaga kerahasiaan data pribadi, termasuk informasi password, PIN ataupun OTP yang digunakan sebagai verifikasi akses layanan digital,” tambah Denny.
Namun, Denny juga tidak menjelaskan bagaimana bisa data SMS pengguna Telkomsel bisa berada di tangan pihak ketiga dan digunakan untuk meneror korban.
(Cyberthreat/PARADE.ID)
