Saya pernah mendapati sebuah unggahan gambar dari teman saya yang berasal dari YouTube. Unggahan gambar tersebut berisi surel tentang “penyesalan” dari tim YouTube yang telah gagal membantu proses Account Recovery teman saya. Ada satu kalimat dalam surel itu yang membuat saya tertarik. Kalimat tersebut berbunyi “Semua perubahan dilakukan dengan akses yang sah oleh pemilik akun”. Tapi sebelum saya mulai menjelaskan, saya akan menceritakan kronologinya terlebih dahulu.
Pada suatu hari, saya mendapat pesan dari teman saya. Teman saya mengatakan bahwa akunnya baru saja diretas dan si pelaku telah melakukan reset melalui kontrol panel akun Google. Yang paling dikhawatirkannya saat itu adalah akun YouTube. Akun tersebut telah memiliki audience yang cukup besar di pasarnya sendiri dan sudah mengaktifkan fitur monetisasi. Dia langsung mengontak Customer Service YouTube untuk mendapatkan bantuan Account Recovery. Beberapa hari kemudian dia mendapatkan respon dari Customer Service YouTube.
Sampailah di mana teman saya mengirim unggahan gambar seperti dijelaskan di awal. Unggahan gambar yang berisi surel “penyesalan” tersebut membuat saya tertarik. Terdapat kalimat berbunyi “Semua perubahan dilakukan dengan akses yang sah oleh pemilik akun”. Saya berpikiran bahwa itu artinya segala perubahan yang diatur dari dalam kontrol panel akun Google termasuk sah. Lalu jika demikian bagaimana dengan kasus teman saya ini? Pelaku yang kita sebut sebagai peretas, telah memasuki akunnya dan mengubah beberapa pengaturan dari dalam.
Jika dihubungkan dengan pernyataan saya sebelumnya bahwa “segala perubahan yang diatur dari dalam kontrol panel akun Google termasuk sah”. Artinya si peretas dianggap sebagai pemilik akun ketika dia sudah memasuki akun teman saya. Mulai dari sini, dengan peran dia sebagai pemilik akun “di mata Google” sekarang maka segala perubahan di dalam akun tersebut dianggap sah. Dengan begini maka meminta bantuan dengan Customer Service akan sia-sia, karena semua perubahan dianggap sah sehingga tidak terdeteksinya aktivitas mencurigakan di dalam akun. Seperti di kasus teman saya, peretas telah melepaskan nomor ponsel milik teman saya dan menggantinya dengan mudah. Di akun Google proses pelepasan nomor ponsel dilakukan begitu saja tanpa ada verifikasi dari sistem. Ini sangat merugikan pengguna akun Google yang tidak memiliki keamanan akun yang kuat. Meskipun akun pengguna memiliki keamanan kuat tetap tidak ada jaminan bahwa akun pengguna sepenuhnya aman.
Saya menarik kesimpulan bahwa pihak Google sudah melepas tangan dan hanya akan membiarkannya. Sebagai pengguna Google kita terlalu diharuskan bertanggung jawab dengan akun kita sendiri. Ini dibuktikan dari bagaimana Google sering “menekan” kita untuk memperkuat pertahanan akun kita ketika baru membuat akun. Setelahnya ketika akun kita sudah diretas mereka tidak lagi berusaha membantu kita dengan melakukan verifikasi ulang di dalam kontrol panel akun untuk beberapa perubahan yang terjadi. Ini berkaitan dengan yang sudah dijelaskan sebelumnya, dapat dilihat ketika kita akan melepaskan metode pemulihan dengan nomor ponsel. Google tidak akan mengirimkan kode OTP ke nomor ponsel yang terkait, karena Google percaya bahwa yang melakukan perubahan tersebut adalah pemilik akun dan hal tersebut sah. Seharusnya Google melakukan pemeriksaan kembali kepada siapapun yang ingin melakukan perubahan dari dalam. Seperti mengirimkan kode OTP kepada nomor yang terkait. Meskipun keamanan dari luar sudah sangat kuat, bukan berarti tidak bisa ditembus.
Sebenarnya pada beberapa perubahan yang akan dilakukan, Google akan melakukan verifikasi dengan password akun. Tapi hal ini sia-sia saja karena peretas sudah pasti mengetahui password pengguna. Jika tidak, peretas tidak mungkin dapat masuk ke dalam akun. Seharusnya Google menambahkan opsi verifikasi berupa pertanyaan yang spesifik mengenai penggunanya. Dengan begitu yang mengetahui jawaban dari verifikasi hanya pengguna dan orang-orang terdekatnya. Ini juga dapat membantu jika akun kita diretas, karena besar kemungkinan pelakunya adalah orang terdekat kita.
Tulisan Terkait
Raziq Danish Safaraz, siswa SMA Cendana Pekanbaru