Usai SIM Swapping, Peneliti Bobol Akun Paypal, Venmo dll

Cyberthreat.id - Beberapa aplikasi dan website seperti Paypal dan Venmo memiliki kelemahan yang memungkinkan hacker dengan mudah mengambil alih akun pengguna setelah mereka mengambil kendali nomor telepon korban atau dikenal juga kejahatan pertukaran kartu SIM (SIM Swapping).

Januari lalu, peneliti di Universitas Princeton menemukan 17 perusahaan besar seperti Amazon, Paypal, Venmo, Blizzard, Adobe, eBay, Snapchat, dan Yahoo, yang memungkinkan penggunanya untuk mengatur ulang password melalui pesan SMS yang dikirim ke nomor ponsel yang terkait dengan akun pengguna.

Artinya, jika hacker bisa mengambil kendali atas nomor ponsel korban melalui peretasan yang mudah dilakukan dan dikenal sebagai pertukaran SIM, berikutnya pelaku kejahatan akan meretas ke dalam akun online korban dengan aplikasi atau website yang disebutkan tersebut.

"Ketika menelusuri dataset, saya sebenarnya tidak berharap menemukan banyak hal, tetapi kemudian saya tidak berharap menemukan situs-situs besar ternyata memiliki masalah seperti ini," kata Kevin Lee, seorang pemimpin peneliti di Universitas Princeton, dilansir Vice, Senin (7 April 2020).

Setelah menemukan celah tersebut, para peneliti mengontak perusahaan dan website raksasa untuk memberitahukan celah keamanan. Pekan lalu, tepatnya dua bulan setelah para peneliti berusaha menjangkau raksasa digital payment, mereka menemukan sejumlah perusahaan telah menutup lobang dan memperbaiki masalahnya.

Perusahaan itu termasuk Adobe, Blizzard, Ebay, Microsoft, dan Snapchat, sementara beberapa perusahaan lain belum melakukannya.

"Banyak dari mereka tidak mengerti bahwa ini adalah masalah dengan kebijakan otentikasi," kata Lee.

"Mereka kemudian mengatakan 'yah ini masalah dengan operator dan bukan kita," ujarnya.

Paypal dan Venmo, misalnya, adalah aplikasi yang memungkinkan pengguna untuk bertukar uang dan ditautkan ke rekening bank atau kartu kredit. Dua perusahaan ini mungkin merupakan contoh paling mencolok. Peneliti Motherboard pekan ini memverifikasi bahwa sangat mungkin untuk me-reset password di Paypal dan Venmo melalui pesan SMS.

Venmo dimiliki oleh Paypal namun tak satu pun dari juru bicara kedua perusahaan ini menanggapi permintaan komentar untuk cerita ini.

Tentu saja, kebijakan otentikasi semacam ini harus ada karena perusahaan perlu menyeimbangkan keamanan dengan kebutuhan pengguna untuk mengatur ulang password jika pengguna lupa.

Mengizinkan pengguna me-reset password menggunakan nomor telepon, secara teori, merupakan solusi yang bagus. Tetapi, perlu dipikirkan fakta bahwa terjadi peningkatan signifikan kejahatan SIM Swapping dalam beberapa tahun terakhir. Peneliti Motherboard sudah sering melaporkan kejadian ini dan mengingatkan kejahatan ini sangat berisiko dan masif.

Jika pengguna ponsel/nomor telepon tidak ingin bergantung pada perusahaan tersebut untuk meningkatkan dan meningkatkan kebijakan keamanannya, ada solusi sederhana yang dapat diterapkan pengguna untuk mengurangi risiko pada akunnya.

Cara termudah untuk membuat pelaku SIM Swapping tidak bisa mengambil alih akun adalah dengan memutuskan tautan nomor telepon Anda dengan akun-akun itu, dan gunakan nomor VoIP — seperti Google Voice, Skype, dan lain-lain — sebagai gantinya.

"Nomor Google Voice tidak benar-benar terhubung ke kartu SIM nyata sehingga jauh lebih sulit untuk dibajak."