tirto.id - Selebritas Maia Estianty menjadi korban pembobolan akun GoPay ketika menggunakan layanan pesan-antar GoFood. Dalam instagram pribadinya @maiaestiantyreal, Maia menulis saldo GoPay dia terkuras dan pelaku pembobolan meretas akun dia yang lain di ponselnya.
Kejadian ini bermula ketika Maia menerima panggilan dari sopir ojek online yang mengaku motor miliknya mogok sehingga perlu mengganti pengemudi. Si sopir meminta Maia memasukan nomor telepon diiringi kode “21”.
Namun, tanpa disadarinya, keputusan itu bikin Maia memberikan data telepon kepada pelaku. Pelaku kemudian melakukan login ke akun Maia. Menariknya, Maia mengaku tak memberi kode OTP (one-time password) yang biasa dikirim kepada pengguna melalui SMS tetapi pelaku tetap memperoleh kode itu dan akhirnya menguras saldo GoPay milik Maia.
Dalam penjelasannya, Maia menambahkan ada sejumlah keanehan lain seperti posisi sopir yang tiba-tiba berpindah, lalu pelaku meretas akun aplikasi lain miliknya seperti Tokopedia dan WhatsApp. Aplikasi Whatsapp Maia dihapus oleh pelaku.
Maia menulis pelaku hampir berhasil membeli ponsel via akun Tokopedia sekaligus kartu kredit miliknya. Untungnya, Maia berhasil menghubungi provider seperti Telkomsel dan perusahaan kartu kredit untuk segera memblokirnya.
Maia meminta Gojek mengantisipasi masalah ini agar tak sampai jatuh korban yang lain. Ia mengimbau konsumen lain untuk berhati-hati agar akunnya tak sampai diretas dan mewaspadai tingkah laku sopir yang mencurigakan.
“Gue rasa aplikasi-aplikasi ini boleh canggih, tapi ternyata maling-maling ini jauh lebih canggih... Gue sih ikhlas kok kehilangannya,” tulis Maia dalam akun Instragam.
Kendati demikian, Maia beruntung. Ia menulis via Instastory bahwa saldo GoPay dia sudah kembali, “Thanks @gojekindonesia sudah gerak cepat laporan gue."
Pembobolan saldo GoPay tak cuma terjadi pada Maia Estianty.
Selebritas Aura Kasih pernah mengalami kejadian serupa dan sempat melapor ke kantor Gojek pada November 2019 dan mengaku kehilangan saldo GoPay sampai Rp 11 juta. Bahkan ia sempat kaget kejadian ini menimpa konsumen dan pengemudi sekaligus.
Riana Ibrahim, konsumen GoPay yang bekerja sebagai karyawan swasta, tak seberuntung Maia. Akun Gojek Riana dibobol saat memesan martabak melalui layanan GoFood pada 6 Desember lalu, tetapi tak kunjung memperoleh penggantian padahal telah melapor tiga kali ke Gojek.
“Saat lapor ke Gojek sampai 3 kali dibilang tidak ada penggantian karena kesalahan ada pada pengguna yang memberikan kode. Walaupun sebenarnya ada celah sistem keamanan,” ujar Riana kepada Tirto.
Riana menyayangkan beda perlakuan antara dia dan para selebritas, padahal pola peretasannya mirip, bermula dari panggilan telepon dari sopir, lalu meminta kode dan forward call, lantas berujung pemindahan akun.
Peretasan akun Go-Pay itu membuat Riana kehilangan saldo Rp 801 ribu hasil top up sesaat akan membeli martabak. Lalu, lewat layanan oneklikpay atau topup saldo GoPay dari kartu debit di aplikasi, Riana kehilangan lagi senilai Rp951 ribu.
Selain akun GoPay, Riana tak bisa mengakses ke akun Whatsapp dia sendiri. Akun Tokopedia dia sempat pula diakses pelaku dan dia harus kehilangan saldo OVO yang untungnya jumlahnya sedang tak banyak yaitu senilai Rp 25 ribu.
“Konsumen memang punya porsi kesalahan karena semestinya tidak menyerahkan kode OTP. Tapi, di sisi lain, sistem pengamanan dan tanggapan usai kejadian dari Gojek kurang memuaskan," ucap Riana.
Ia berkata dalam situasi semacam itu Gojek seakan melakukan "tebang pilih" terhadap pelapor.
Perlu Mengevaluasi Sistem Keamanan Aplikasi
Direktur Eksekutif ICT Institute Heru Sutadi berkata one-time password alias kata sandi sekali pakai (OTP) memang kerap menjadi pintu masuk peretasan. Berbekal OTP, pelaku kerap bisa mengakses aplikasi lain dengan seolah-olah menjadi pemilik ponsel korban meski tidak memiliki nomor ponsel tersebut.
Namun, setahunya, efek buruk lebih besar bisa dicegah jika aspek konfirmasi dobel diterapkan dengan benar. Heru bilang seharusnya setiap transaksi selalu diawali permintaan PIN. Hal ini katanya sudah diterapkan di perbankan sehingga mengurangi risiko kerugian konsumen bila akun benar-benar dibobol melalui OTP.
“Ini yang saya kira luput digunakan layanan pembayaran online. Sekali ponsel atau akun berpindah tangan, semua hal bisa dilakukan,” ucap Heru.
Heru menambahkan penyedia aplikasi perlu mengevaluasi sistem keamanan aplikasinya. Kenyataannya, kasus yang menimpa Maia dan Riana dialami pengguna aplikasi pembayaran lain. Dengan demikian, memang tidak hanya menimpa pengguna GoPay.
Bertambahnya catatan kasus yang terulang dan merembetnya peretasan ke aplikasi lain menurut Heru menjadi alarm bahwa penyedia aplikasi tidak bisa diam atas celah keamanan itu. Belum lagi, setahu dia penyedia layanan biasanya akan mengaku tak ada celah.
Ia menilai kasus pembobolan pada alat pembayaran ini perlu mendapat perhatian dari pemerintah dan kepolisian. Jika perlu, penyedia aplikasi perlu bekerjasama dengan kedua institusi itu. Menurutnya, kegagalan mengantisipasi kasus ini bisa menjadi bumerang buat industri karena mengandalkan kepercayaan masyarakat.
“Penyedia aplikasi perlu segera mengevaluasi dan cek kembali sistem keamanan aplikasi,” ujar Heru.
Menanggapi hal itu, Senior Manager Corporate Affairs Gojek, Alvita Chen, menjelaskan perusahaannya telah menghubungi Maia dan membantu agar penipu dapat diusut kepolisian. Perusahaan, katanya, mengecam kasus penipuan itu.
Gojek, kata Alvita, mengimbau agar masyarakat berhati-hati untuk tidak memberi kode apa pun kepada siapa pun. Ia memastikan keamanan pengguna dan mitra tetap menjadi prioritas perusahaannya.
Kendati demikian, reporter Tirto sempat bertanya mengenai ada beda perlakuan antara Maia dan konsumen lain yang ternyata belum mendapatkan penggantian uang yang hilang di akun GoPay usai melapor maupun apakah ada strategi lanjutan dari Gojek agar kejadian macam ini tak terulang lagi.
Pertanyaan itu tak dijawab oleh Alvita maupun oleh Corporate Communication GoPay Griya Putri.
Penulis: Vincent Fabian Thomas
Editor: Ringkang Gumiwang
