Belajar Dari Kasus Pencurian Email dan Password Go-Pay

Pagi itu (19/07) saya dikagetkan dengan informasi melalui Short Message Service (SMS) dan email dari Go-Jek yang meminta saya, sebagai pengguna Go-Jek, untuk segera me-reset password. Dalam email tersebut juga disebutkan beberapa tips penting agar pengguna tidak menggunakan password yang sama di lebih dari satu situs atau aplikasi.

Saya pun langsung bertanya-tanya, hal apa yang menyebabkan pihak Go-Jek untuk meminta mengganti password saya segera. Ternyata hal ini berkaitan dengan informasi yang dibagikan pengguna Go-Jek lainnya di forum Kaskus yang menyangka akun Go-Jeknya telah di-hack dan kreditnya di Go-Pay telah habis terpakai.

Apa sebenarnya penyebab dari kebobolan ini? pihak Go-Jek sendiri melalui akun Twitter resminya langsung membalas pemilik akun Twitter yang melaporkan kejadian tersebut bahwa tidak benar adanya password Go-jek di-hack oleh pihak yang tidak bertanggung jawab.

Dikabarkan kebobolan tersebut terjadi berdasarkan peluang yang dimanfaatkan oleh pihak yang tidak bertanggung jawab karena kebanyakan akun dan password yang digunakan oleh seseorang, misalnya Google, Facebook, bahkan Go-Jek menggunakan informasi yang sama.

Berdasarkan informasi yang mereka dapatkan dari pihak luar (bukan dari sistem Go-Jek), email dan password tersebut digunakan untuk masuk ke akun pribadi beberapa pengguna Go-Jek. Disebutkan pula pihak tersebut juga menjual email dan password yang dicuri secara online.

Startup perlu proaktif mengecek keamanan akun yang dikelolanya

Kemungkinan besar saya dikirimi email tentang penggantian password karena informasi saya bisa jadi leak di luaran, meskipun saya yang tidak merasa mengalami kebobolan kredit Go-Pay seperti yang dialami sejumlah orang.

Menurut saya, tindakan pertama yang dilakukan Go-Jek, dengan langsung mengirimkan email dan SMS kepada pengguna agar segera me-reset password yang sebelumnya digunakan dengan password baru, adalah langkah yang paling tepat untuk meminimalisir terjadinya pencurian dan pembobolan akun yang lebih banyak lagi.

Startup harus belajar dari pengalaman sejumlah layanan online ketika LinkedIn mengalami pembobolan 117 juta email dan password penggunanya pada tahun 2012 silam dan di bulan Mei 2016 email dan password yang dicuri tersebut dijual secara online.

Untuk mengantisipasi hal-hal yang tidak diinginkan, Amazon berinisiatif mengirimkan email otomatis kepada pengguna agar segera mengganti password di akun pribadi milik penggunanya yang memiliki email dan, kemungkinan besar, password yang sama dengan data Linkedin yang dibobol. Hal tersebut dilakukan sebagai antisipasi jika ada pengguna Amazon yang menggunakan email dan password yang sama untuk login di LinkedIn.

Hal yang sama juga dilakukan sejumlah layanan lain, termasuk Instagram yang memberikan informasi serupa di dalam aplikasinya.

Idealnya kita tidak menggunakan email dan password yang sama di semua akun aplikasi yang ada, tapi hal itu tentu saja tidak mungkin. Setidaknya kita harus menggunakan password yang berbeda dengan database layanan yang terbukti sudah dibobol supaya bisa mengurangi risiko terjadinya pembobolan.

Sejauh ini saya belum banyak menemukan layanan lokal yang proaktif mencari data-data pelanggannya di basisdata layanan sudah leak di internet padahal bisa jadi data tersebut adalah data yang sama yang digunakan konsumen layanannya untuk masuk ke email, layanan media sosial, dan bahkan akun perbankannya.

Keamanan data harus menjadi prioritas startup lokal untuk menghindari kejadian pencurian data, seperti yang dialami sejumlah pengguna Go-Jek tersebut.