Pengguna Twitter Blue Lebih Gampang Diretas, Kok Bisa?

Layanan Twitter berbayar (Twitter Blue) sudah bisa dijajal di banyak negara dengan tarif sekitar Rp 120 ribu. Pengguna akan mendapat banyak fitur premium dengan layanan berbayar ini, namun pengguna Twitter Blue (bisa saja) lebih mudah diretas. Kok bisa? Begini penjelasannya.

Munculnya layanan Twitter Blue ini diikuti dengan dimatikannya otentikasi dua tahap (two factor authentication/2FA/TFA) menggunakan SMS untuk pengguna gratisan, yaitu mulai 20 Maret lalu. Pengguna yang tetap mau menggunakan otentikasi dua tahap harus beralih menggunakan Google Authenticator, Authy, atau Microsoft Authenticator.

Nah, masalahnya adalah pengguna Twitter Blue masih diberikan opsi untuk tetap menggunakan otentikasi dua tahap memakai SMS. Padahal, jika dilihat tingkat keamanannya, Google Authenticator jauh lebih aman dibanding SMS. Ini artinya, pengguna Twitter Blue malah dibiarkan menggunakan otentikasi yang tingkat keamanannya lebih rendah.

Mengapa SMS lebih tak aman?

Hal ini disebabkan cara kerja 2FA SMS yang melibatkan pihak ketiga dan aplikasi SMS itu sendiri adalah aplikasi jadul yang tidak terenkripsi dan isinya mudah disadap. SMS adalah aplikasi perpesanan yang diciptakan oleh Friedhelm Hillebrand dan Bernard Ghillabaert di tahun 1984 dan digunakan pertama kali di tahun 1992. SMS menjadi fenomena dan populer di tahun 2002.

Namun, tidak dapat dipungkiri kalau teknologi SMS ini sudah berumur 21 tahun dan kurang ideal jika digunakan sebagai sarana otentikasi karena tidak terenkripsi dan melibatkan pihak ketiga dalam pengirimannya sehingga dapat disadap dan dibaca isinya.

Kelemahan 2FA SMS ini pula yang dieksploitasi dalam pembobolan akun m-banking yang memalsukan aplikasi pencuri SMS sebagai aplikasi APK kurir online, tagihan BPJS atau undangan pernikahan yang jika dijalankan oleh korbannya akan mencuri SMS otorisasi m-banking. Alasan utama SMS masih digunakan sampai hari ini sebagai sarana TFA adalah karena unsur kemudahan dimana tanpa perlu menginstal aplikasi tambahan pengguna ponsel dapat menerima SMS dan popularitas SMS yang sangat tinggi.

Aplikasi otentikasi tidak melibatkan pihak ketiga dalam pengiriman kode OTP dan lebih sulit dibaca karena terenkripsi dan memang diciptakan untuk mengamankan kode OTP sehingga sulit dicuri. Aplikasi otentikasi bisa diunduh dan diinstal secara gratis dari Play Store atau Apps Store.

Ada beberapa proteksi tambahan seperti membuka aplikasi otentikasi bisa dilindungi dengan PIN tambahan dan perlindungan terhadap screenshot sehingga jelas pengamanan TFA dengan aplikasi otentikasi lebih aman daripada TFA menggunakan SMS.

Ancaman Kredensial dan Perlindungannya

Per tanggal 20 Maret 2023 perlindungan TFA menggunakan SMS pada pengguna Twitter biasa akan dinonaktifkan. Jika anda mengaktifkan TFA SMS pada akun Twitter anda dan selama ini terlindung oleh proteksi TFA SMS, maka secara otomatis akun Twitter anda menjadi rentan diambil alih karena hanya mengandalkan kredensial username dan password.

Apalagi kalau anda menggunakan password yang sama untuk berbagai akun anda, kebocoran password pada salah satu layanan yang anda gunakan seperti yang pernah terjadi pada Yahoo dan LinkedIn secara otomatis akan membocorkan password akun anda yang lainnya karena username umumnya menggunakan alamat email atau nomor telepon.

Ancaman lain yang berbahaya adalah jika anda tertipu situs phishing dan memasukkan kredensial anda ke situs tersebut. Apalagi kalau perangkat anda mengandung keylogger yang akan mencuri ketukan keyboard dan perangkat anda tidak memiliki perlindungan Identity Protection yang akan melindungi secara otomatis dari aksi phishing dan keylogger.

Identity Protection Vaksincom Foto: Dok. Vaksincom

Jadi bagaimana sebaiknya?

Jika anda pengguna Twitter biasa, penulis menyarankan anda untuk segera mengaktifkan perlindungan 2FA berbasis aplikasi guna mengamankan akun Twitter anda.

Bagi pengguna Twitter Blue, sekalipun pengamanan 2FA berbasis SMS ini tersedia untuk anda, namun penulis menyarankan anda untuk lebih memilih pengamanan 2FA berbasis aplikasi karena secara teknis dapat mengamankan akun anda lebih baik daripada 2FA berbasis SMS.