Menuju konten utama

Di Balik Bobolnya Akun Media Sosial Para Selebritas

Ratusan foto pribadi selebritas tersebar dalam peristiwa celebgate 2014. Mengapa ini bisa terjadi?

Di Balik Bobolnya Akun Media Sosial Para Selebritas
Jennifer Lawrence. FOTO/REUTERS

tirto.id - Pada Agustus 2014 jadi momen yang paling tidak menyenangkan bagi Jennifer Lawrence. Padahal, beberapa bulan sebelumnya, film “X-Man: Days of Future Past" yang dibintanginya baru saja tayang perdana. Foto-foto pribadi miliknya bocor ke beberapa situsweb komunitas seperti 4Chan dan Reddit. Selain Lawrence, ada beberapa selebritas yang bernasib serupa.

Bocornya foto-foto syur sang artis ini membuat warganet heboh. Kejadian ini dikenal dengan istilah “celebgate” atau ada juga yang menyebutnya “the fappening”. Ini sebuah istilah yang merujuk pada penggunaan bocoran foto selebritas untuk tujuan masturbasi. Kejadian memalukan ini bukan tanpa sebab, akun iCloud yang menyimpan foto-foto para selebritas ini dibobol oleh tangan jahil.

Sebuah kejadian serupa juga heboh terjadi pada Agustus 2017. Akun Instagram milik penyanyi Selena Gomez mengunggah foto-foto pribadi Justin Bieber, sang mantan. Kejadian ini membuat para penggemar mereka heboh. Selena Gomez buru-buru menampik kalau ia yang melakukannya.

Dua kejadian memalukan dalam dua platform yang berbeda ini tak hanya menarik, tapi juga memiliki kemiripan. Ada dugaan iCloud dan Instagram memiliki celah keamanan pada API alias Application Programming Interface. API merupakan set protokol atau alat yang digunakan untuk membuat aplikasi.

Salah satu contoh penggunaan API adalah tombol “sign in with Facebook” di banyak situsweb atau aplikasi. Fitur itu disediakan bagi yang ingin mengintegrasikan layanannya dengan Facebook, dan membuat pengunjung dapat “log-in” tanpa perlu melakukan registrasi di layanannya. Pengguna cukup menggunakan akun Facebook. Developer situsweb atau aplikasi, memerlukan API Facebook untuk bisa “meminjam” kekuatan Facebook. Dalam API Facebook itu, terdapat instruksi serta protokol bagaimana memanfaatkan layanan Facebook bagi suatu situsweb atau aplikasi.

Sebelum peristiwa bobolnya foto-foto pribadi itu, terdapat celah keamanan pada API milik iCloud. Celah itu ditunjukkan peneliti keamanan bernama Ibrahim Balic. Celah keamanan inilah yang dimanfaatkan para peretas. Mereka mengeksploitasi terus menerus dan mencoba menebak kombinasi nama pengguna dan kata sandi tanpa kendala apapun. Hingga akhirnya sebuah akun yang diincar bisa sukses dibobol.

26 Maret 2014, Balic sempat melaporkan temuannya kepada Apple. Menurut Ars Technica, email itu berbunyi: “Saya menemukan sebuah isu baru di akun Apple … Dengan metode serangan kasar saya bisa mencoba lebih dari 20.000 + kali kata sandi pada akun manapun. Saya pikir lockout akun harus segera diterapkan. Saya turut melampirkan screenshot untuk Anda. Saya menemukan juga masalah serupa pada Google dan saya mendapatkan tanggapan dari mereka.”

Apple menampik bahwa celah di API iCloud tersebut menjadi biang keladi pembobolan foto-foto selebritas. Dalam sebuah pernyataan di blog resminya, Apple mengungkapkan bahwa, “setelah melakukan penyelidikan selama lebih dari 40 jam, kami menemukan bahwa beberapa akun selebritas telah dikompromikan oleh serangan yang sangat spesifik terhadap nama pengguna, kata sandi, dan pertanyaan keamanan, sebuah kejadian yang umum di internet. Tidak ada satu pun dari kasus (pembobolan) yang kami selidiki akibat peretasan pada semua sistem milik Apple termasuk iCloud atau Find my iPhone.”

Kasus ini memasuki babak baru setelah penangkapan dua orang yang diduga menjadi pelaku. Mereka adalah Ryan Collins dan Edward Majerczyk. Dalam catatan peradilan, keduanya menggunakan teknik phishing guna memperoleh akses pada foto-foto pribadi selebritas tersebut, bukan memanfaatkan celah pada API milik iCloud. Ryan Collins sukses menggunakan phishing untuk membobol 50 akun iCloud dan 72 akun Gmail.

Infografik bobolnya akun medsos selebritas

Namun, yang mengganjal dan tetap pertanyaan adalah apakah benar peretas benar-benar memanfaatkan teknik phishing atau memanfaatkan API milik iCloud? Pada laporan Fortune, salah satu kasus pencurian yang dilakukan Collin dikabarkan memanfaatkan program khusus untuk mengunduh file dari iCloud korban -- artinya ia menggunakan teknik selain phishing.

Berbeda dengn iCloud milik Apple, kebocoran di API Instagram tak ditampik sang empunya platform. Berdasarkan laporan Ars Technica, juru bicara Instagram mengatakan, “Baru-baru ini kami menemukan bahwa terdapat satu atau beberapa individu memperoleh akses yang tidak sah ke sejumlah informasi kontak pada pengguna profil tinggi Instagram - khususnya alamat email dan nomor telepon - dengan memanfaatkan bug di API Instagram [...] Kami memperbaiki bug dengan cepat dan sedang melakukan penyelidikan menyeluruh.”

Dalam aksinya memanfaatkan API Instagram, para peretas terlebih dahulu harus memulai dengan aplikasi Instagram jadul alias versi 8.5.1. Melalui Instagram jadul, peretas mengirimkan beberapa request pada server Instagram. Server, mengirim balik request melalui JSON, sebuah format yang umum dipakai membangun API.

Baca juga:

Kehadiran bug pada API milik Instagram menjawab masalah yang dialami akun Selena Gomez yang diretas. Selain unggahan foto pribadi Justin Bieber yang muncul di akunnya, nomor ponsel pribadi penyanyi ini berhasil dibobol oleh peretas.

Selain dua platform yang sempat kebobolan yaitu iCloud dan Instagram, persoalan mirip-mirip terjadi platform lain. Ini dialami keponakan penyanyi Ashanty, Millendaru. Video pribadinya diedarkan melalui akun Snapchat miliknya sendiri. Dalam klarifikasinya, Millen mengaku bahwa semua akun media sosial berikut akun email dan iCloud telah diretas.

Pada kasus Millen, tak jelas bagaimana peretas mengambil alih beberapa akun milik pribadi sekaligus membobol video pribadi sang artis. Namun, bila mengacu pada klarifikasi, kemungkinan besar Millen merupakan korban dari phishing.

Dalam banyak kasus, pengguna layanan internet umumnya menggunakan satu kata sandi untuk semua platform yang mereka miliki. Saat kata sandi satu layanan berhasil dicuri melalui teknik phishing, kemungkinan besar, akun pada layanan-layanan lain juga bisa dibobol.

Baca juga artikel terkait PERETASAN atau tulisan lainnya dari Ahmad Zaenudin

tirto.id - Teknologi
Reporter: Ahmad Zaenudin
Penulis: Ahmad Zaenudin
Editor: Suhendra