- www.lelogama.go-jek.com
VIVA – Kasus pembobolan akun Gojek masih terus terjadi. Pembajak mengincar akun Gojek untuk salah satunya bisa menguras saldo Gopay pengguna.
Modus pembobolan akun Gojek yakni pengguna sebelumnya mendapatkan SMS kode verifikasi dan kemudian menghubungi pengguna untuk menyebutkan kode yang masuk di SMS. Padahal kode tersebut adalah kode untuk bisa membobol akun Gojek.
Pakar forensik digital, Ruby Alamsyah menganalisis, kasus pembajakan akun Gojek itu menggunakan celah keamanan pada fitur reset password. Cara ini, menurutnya, mirip dalam peretasan password email seseorang dengan memanfaatkan fitur yang sama, reset password.
"Jadi modusnya adalah pelaku mengetahui data pengguna berikut nomor handphone-nya, lalu menggunakan fitur reset password dan segera menghubungi korban, dengan menggunakan teknik social engineering," ujar Ruby kepada VIVA, Rabu 21 Maret 2018.
Dia menjelaskan, social engineering merupakan upaya pembobol secara persuasif mendapatkan kepercayaan seseorang dengan menginformasikan sesuatu. Tujuannya target percaya dan mau melakukan apa yang diinginkan pembobol.
Setelah mulus menipu korban dengan teknik persuasif itu, doktor jebolan Institut Teknologi Bandung itu menuturkan, pelaku akan meminta nomor One Time Password (OTP). Dengan mendapatkan OTP, pembobol bisa meretas akun korban. Setelah akun korban berhasil diretas, pelaku kemudian membobol akun Gopay milik korban.
Hal penting dan mendasar yang patut dibongkar dalam kasus ini, kata Ruby, dari mana pelaku bisa mendapatkan data pelanggan termasuk nomor handphone pengguna. Menurutnya, hal penting ini perlu mendapat klarifikasi dari Gojek supaya masyarakat tidak khawatir berlebihan.
Ruby juga menyoroti penanganan Gojek terhadap korban pembobolan. Dalam pengakuannya, pengguna yang jadi korban mengatakan Gojek menganjurkan pengguna menjadi korban membuat akun baru dengan email baru.
"Berarti Gojek belum mempunyai mekanisme mengidentifikasi pelanggan asli yang optimal, sehingga akun korban yang berhasil di-hijack tetap dalam kuasa pelaku, walaupun Gojek selanjutnya dapat menonaktifkan akun korban yang telah di-hijack," jelasnya.
