INTERVIEW : Heboh Peretasan SMS dengan Tools Telkomsel, Zul Amri: Main Tuduh Saja!

Heboh Peretasan SMS dengan Tools Telkomsel, Zul Amri: Main Tuduh Saja!

Heboh Peretasan SMS dengan Tools Telkomsel, Zul Amri: Main Tuduh Saja!
Zul Amri | Foto: Arsip pribadi
Tenri Gobel Senin, 07 September 2020 - 13:39 WIB

Cyberthreat.id – Awal September lalu, praktisi keamanan siber juga pendiri komunitas Ethical Hacker Indonesia, Teguh Aprianto, bikin heboh di media sosial Indonesia.

Di akun Twitter-nya, ia berbagi cerita tentang peretasan SMS yang menimpa seorang pengguna Telkomsel bernama Darryl.

Teguh menuding peretasan yang dialami Darryl menggunakan tools internal Telkomsel sehingga pelaku bisa membaca SMS korban. Sayangnya, Teguh tanpa menyertakan bukti soal ucapannya itu. (Baca: Heboh Peretasan SMS Pengguna Telkomsel, Korban Dimintai Uang, dan Dikirimi Order Fiktif)

Ia bisa bercerita seperti itu lantaran Darryl sendiri yang menghubungi dirinya. Menurut Teguh, Darryl mengaku mendapatkan email pemerasan (blackmail). Email itu dikirim dari Bang Amri (semuaxxx@gmail.com), tampak seperti di bawah ini.



Cerita yang dibagikan Teguh menjadi viral di dunia maya. Zul Amri, begitu Bang Amri dipanggil, sontak kaget dan mengonfirmasi di akun Facebook-nya.

Zul Amri bilang apa yang dilakukan dirinya atas permintaan Darryl sendiri. Ia juga mengaku membuka “jasa retas diri sendiri”—jasa inilah yang dipakai Darryl. Namun, Darryl melalui Teguh bercerita lain bahkan mengaku direcoki order fiktif Go-Jek

Cyberthreat.id pun mengontak Zul Amri untuk mengetahui bagaimana duduk perkaranya bermula. Berikut ini pengakuan Zul Amri kepada wartawan Cyberthreat.id, Tenri Gobel pada Jumat (4 September 2020).

Jangan-jangan yang mengisi Google Form yang Anda sediakan untuk “jasa retas diri sendiri” bukan dari Darryl? Apa tanggapan Anda atas kejadian ini?

Saya mana tahu siapa yang isi data tersebut kalau bukan orangnya sendiri. Saya juga cuma melayani request yang masuk sesuai isian formulir. Saya juga tidak kenal sama beliau, tidak ada urusan juga saya mau peras dia.

Kan bahasanya sesuai dengan isi formulir, tidak ada ancaman atau apa pun. Malah saya bingung pas dapat balasan dari dia sampa bawa-bawa artis, bawa bini saya yang tidak ada sangkut pautnya.

Tweet Teguh menuding Anda pakai tools internal Telkomsel. Benar begitu?

Tidak ada itu. Teguh cuma dapat bukti dari satu pihak. Dia tidak klarifikasi lagi ke saya, main tuduh saja, main sebar segala macam. Harusnya, kalau dia benar, minimal tanya dulu runutannya gimana.

Yang benar: isi SMS tersebut dari layanan cloud, sesuai klarifikasi saya di Facebook. Lagian, ini kan orderan dia  Januari 2020. Saya malah heran kenapa dia baru bahas sekarang.

Itu layanan cloud apa pak?

Layanan cloud Mi apa Xiaomi, gitu. Lupa-lupa ingat saya nama webnya.

(Ia menyarankan saya untuk mencari via Google dan akhirnya menemukan alamat situs web ini, yaitu Xiaomi Cloud—https://i.mi.com/?_locale=in_ID)

Artinya, Darryl memakai ponsel Xiaomi waktu itu?

Iya. Di form [permintaan] dia tulis iPhone kan, cuma tidak bisa masuk. Kan semua tempat saya tes.

Dari pernyataan Darryl setelah itu dirinya mendapatkan orderan fiktif Gojek, orderan alat seks dari marketplace yang tak pernah dipesan. Termasuk, SMS notifikasi pengajuan pinjaman daring ke Bank Kalimantan Selatan. Anda yang melakukan itu semua?

Tidak ada. Bohong dan mengada-ada. Saya mana ada kemampuan meretas super seperti ini. Alamat rumahnya saja saya tidak tahu. Di form cuma ada email sama phone saja, enggak ada data lain.

Saya dari kemarin nantangin dia buat maju kasusnya [ke ranah hukum] kalau dia berani. Kalau emang dia benar, kenapa takut? Buktinya mana. Wong, saya tidak ada masalah sama dia, ngapain pakai jahatin dia. Kenal juga enggak.

Apakah Anda mengenal Darryl secara personal? 

Tidak sama sekali, ketemu tidak pernah, satu-satunya yang bikin saya tahu tentang dia adalah dari isian formulir yang ada di Google [Form] itu. Siapa lagi yang isi datanya kalau bukan dia sendiri.

Terkait jasa retas diri sendiri ini sebenarnya sejak kapan Anda geluti?

Dari Januari 2020. Ada di Linkedln saya, baca-baca aja. Di sana jejak digital saya jelas.

Jasa retas diri sendiri yang ditawarkan Zul Amri.


Apa yang membuat Anda menawarkan jasa ini?

Sekadar sampingan saja buat membantu orang-orang, dan sekaligus asah kemampuan hacking saya biar tidak luntur.

Apa saja yang Anda tawarkan?

Ini buat audit keamanan personal, proyek coba-coba. Karena saya baca di berita banyak orang yang kena hack. Dengan adanya audit ini, orang jadi tahu di mana celah keamanannya kalau pun ada temuan.

Ini mengaudit apa saja? Apakah semua akun media sosial atau akun lain? Adakah spesifik pilihan?

Apa saja, bebas. Kan audit umum, tapi kebanyakan emang akun media sosial, password, dan sebagainya.

Jika sudah diaudit dan diketahui kerentanannya, apakah Anda menawarkan solusi?

Pastinya ada solusi dan dikasih langkah-langkah pengamanan yang benar. Dalam kasus Darryl enggak dikasih saran-sarannya dan perbaikan karena setelah saya kasih laporan, dia nuduh blackmail, bahkan bawa istri saya segala.

Runutannya begini: isi formulir>audit>kirim laporan>pembayaran dan selanjutnya laporan dan saran-saran TI. Tapi, dia tidak sampai selesai.

Setelah memberi solusi, apakah Anda memantau lagi rekomendasi yang diberi? Atau, hanya cukup sampai memberikan solusi/saran.

Pastinya kalau sudah dikasih saran ya terserah yang bersangkutan, mau dia terapkan atau tidak. Tapi, semua yang order saat dia sudah bayar jasa, langsung saya pandu lewat WhatsApp dan segera saya suruh untuk diterapkan.

Tren di Indonesia bagaimana soal jasa retas diri sendiri ini?

Kalau untuk tren masih kurang bagus, saya cuma sebulan saja buka. Setelah ada insiden Syahrini saya tutup.

(Berdasarkan video yang dibagikan Zul Amri di Linkedln-nya pada 1 Februari 2020, insiden Syahrini merujuk pada seseorang  [entah Syahrini atau manajemen/orang lain] mengisi formulir untuk menggunakan jasa dirinya. Ia mengklaim berhasil masuk ke akun Gmail Syahrini, tetapi ia tidak berani untuk masuk ke akun media sosial yang terhubung dengan gmail itu.)


Sejak insiden ini, Zul Amri "menutup" jasa retas diri sendiri.


Berarti sejak Januari, Anda tidak membuka jasa ini lagi ya? 



Darryl itu barisan pendaftar pertama, kan aku posting dua kali nawarin jasa. Di postingan pertama, Darryl sudah daftar duluan dia, besoknya saya dah kasih laporan ke dia.

Darryl dulu, Syahrini di gelombang kedua, yang pasti tidak sampai sebulan itu saya buka. Saat ada insiden Syahrini langsung saya paused.

Saya tidak buka jasa audit buat personal lagi, belum sebulan ribet , mending saya fokus ke perusahaan.

(Ia juga bercerita mendapat masukan dari orang kepolisian bahwa jika kasus Darryl dibawa ke hukum, justru Darryl yang melakukan pencemaran nama baik. Ia juga bercerita ada ahli yang baca perilaku terkait isi email yang dikirim ke Darryl. Ahli itu, kata Zul Amri, email itu tidak ada unsur pemerasan, hanya standar format bisnis biasa.)

Sejak kapan tren retas diri sendiri ini ada di Indonesia?

Tidak tahu soal tren. Ini cuma proyek saya sendiri saja, coba-coba.

Jasa retas diri sendiri ini apakah legal secara hukum?

Sebelum saya mulai jasa ini, saya terlebih dahulu konsultasi ke orang-orang hukum. Jadi, tidak serta merta langsung buka. Ini proyek coba-coba saja.

Semua saran advokat saya jalani, lihat saja isian formulir ada term of service. Cuma salahnya [saya] tidak minta bukti digital, kan [jasa ini] baru coba-coba.


Konsultasi hukum sebelum membuka jasa retas diri sendiri.


Untuk biaya bagaimana?

Tidak harus bayar, bisa seikhlasnya.

Apakah jasa Anda dijalankan sendiri atau bersama orang lain?

Cuma sendiri saja. Untuk urusan meretas track record, saya sampai ke luar negeri, termasuk bank nasional di Indonesia.

Saat berhasil meretas saya tidak memanfaatkannya untuk pribadi, malah saya laporkan ke bank-bank bersangkutan bahwa ada celah dan berakhir dengan kontrak kerja semua di bank-bank tersebut.

Bagaimana Anda bisa menjamin atau memverifikasi bahwa orang yang memesan jasa adalah orang yang bersangkutan?

Nah itu celahnya. Makanya, saat ada insiden Syahrini, saya paused. Tempo hari ada yang masuk data-data artis, lalu saat berhasil masuk ternyata artis beneran. Ada videonya, ditonton saja.

Berapa banyak yang memesan jasa Anda?

Kalau yang start Januari masih puluhan.

Sebenarnya batasan dalam jasa ini apa saja? Apakah cukup sampai memberitahu data-data apa saja yang rentan?

Kalau sekadar memberitahu saja yah tidak bisa. Klien pasti minta bukti, jangan hanya katanya-katanya, saya harus bisa nunjukin bahwa temuan saya itu memang rentan. Jadi, sesuai isian formulir, hanya sekadar audit. Bila berhasil masuk di satu aakun klien,saya langsung logout. Proses masuk itu hanya untuk memverifikasi temuan saja.

Bagaimana respons dari orang yang pernah menyewa Anda?

Tak semuanya saya minta, seikhlasnya, bahkan sering juga cuma dapat terima kasih saja. Tak masalah. Bukan uang tujuannya, tapi murni buat bantu orang sekaligus asah skill.

Apa yang Anda harapkan dari jasa ini?

Membantu orang-orang saja, sekalian asah teknik hacking biar makin terasah.[]

Redaktur: Andi Nugroho

Catatan: Cyberthreat.id berusaha sejak pekan lalu untuk mengontak Darryl. Namun, hingga artikel ini terbit, Darryl belum bisa dimintai untuk tanggapan terbaru. Kami masih berusaha untuk meminta tanggapan dari Darryl. Kami akan perbarui informasi jika telah menerima tanggapan.


Standardisasi dan Validasi Teknologi