Founder Ethical Hacker Indonesia Teguh Aprianto memposting cerita peretasan SMS seorang pengguna Telkomsel. Begini ceritanya.
Cerita ini diposting Teguh lewat akun @secgron dan juga lewat postingan di akun Facebooknya. Ia mengaku dihubungi seseorang bernama Daryl yang menyebut SMS di nomor pribadi dia bisa dibaca oleh orang lain, yang dibuktikan lewat screenshot yang diposting oleh Teguh.
"Ketika korban memberikan bukti sebuah email, saya melihat data yang tak biasa. Si pemeras ini menggunakan tool internal milik @telkomsel untuk membaca isi sms korbannya," tulis Teguh.
SCROLL TO CONTINUE WITH CONTENT
Postingan tersebut pun cukup menarik perhatian para netizen. Saat berita ini dibuat sudah di-retweet enam ribuan kali dan di-like tujuh ribuan kali. Ada juga ratusan kicauan yang membalas postingan Teguh tersebut.
Menurut Teguh, karena SMS korban ini bisa diakses, pelaku pun bisa membajak akun Gojek untuk melakukan order fiktif. Tak cuma itu, pelaku pun melakukan pinjaman online atas nama si korban. Semua itu bisa dilakukan karena pelaku bisa mengakses kode one time password (OTP) yang diterima lewat SMS.
Teguh pun me-mention akun Twitter Telkomsel dan menyebut operator plat merah itu wajib memberikan penjelasan ke publik terkait tudingan alat internal yang menurutnya bisa membocorkan data yang sensitif seperti ini.
Sayangnya, Teguh tak menjelaskan lebih lanjut mengenai tudingannya soal 'tool internal' Telkomsel ini. Dalam akhir 'kultwit' itu Teguh juga memberi saran untuk menghindari penggunaan verifikasi dua tahap berbasis SMS karena rawan dibobol.
Sementara dalam postingan di akun Facebooknya, Teguh menyebut pelaku yang dimaksud itu adalah Zul Amri atau Zulamri Malury. Nama email yang ada dalam screenshot yang diposting Teguh memperlihatkan kalau email tersebut dikirimkan oleh 'Bang Amri'.
Kemudian, Zul Amri pun memposting pembelaan terhadap tudingan peretasan ini lewat akun Facebooknya. Menurutnya, peretasan itu ia lakukan karena Daryl memang meminta dirinya untuk menguji keamanan dirinya.
"Anda tau saya pernah buka jasa retas untuk diri sendiri, tujuan nya semacam audit security untuk diri sendiri, dan itu juga harus dengan persetujuan yg bersangkutan, bila tak setuju tak akan di coba retas, so simple," tulisnya Zul.
"Case darryl ini sederhana, yang bersangkutan sendiri yang request jasa, dia sendiri yang isi formulir, eh dia pula yang teriak-teriak blackmail," lanjutnya sembari memposting screenshot yang menunjukkan 'pesanan' dari Daryl tersebut.
Dalam postingan itu pun Zul menceritakan bagaimana ia bisa mendapat akses ke SMS milik Daryl. Menurutnya hal itu didapat dari akun cloud milik Daryl, yang menggunakan satu password untuk semua akunnya.
"Kesalahan fatal yg bersangkutan ini.. menggunakan 1 password untuk semua account yang dia punya. Saya ingat waktu itu login ke twitternya dia masuk, ke facebook nya masuk, ke toped nya masuk, dll . bahkan coba login ke account cloud pun sukses," tulis Zul.
"Dan Anda tau yg nama nya layanan cloud itu menyimpan semua isi Hp anda, dari gallery sampai dengan daftar kontak , termasuk SMS," tambahnya.
Jadi, menurut Zul, dari situ ia mendapat akses ke data SMS milik Daryl.
DetikINET sudah menghubungi Teguh lewat fitur DM di Twitter untuk meminta penjelasan lebih lanjut, namun belum mendapat balasan sampai berita ini ditayangkan. Kami pun sudah menghubungi Telkomsel untuk meminta tanggapan.
(asj/asj)