Hidangan Pahit Menjelang Diskusi

JAM di telepon seluler Mitha Setiani Asih menunjukkan pukul 19.39 pada Rabu, 10 Juni lalu, ketika seorang pengojek online menghubunginya untuk mengkonfirmasi pesanan makanan. Pemimpin Redaksi Teknokra—majalah pers mahasiswa Universitas Lampung—ini cuma berpikir aplikasi Gojek yang terpasang di ponsel pintarnya itu mengalami gangguan. Dua menit berselang, ponsel Mitha dihubungi pengojek lain. Ia makin kebingungan lantaran sekitar 50 pengojek mengontak via telepon dan fitur chat GoFood.

Kebanyakan pesanan dengan pembayaran tunai itu tak bisa lagi dibatalkan karena dalam proses pengantaran. Ada yang dikirim ke Labuhan Ratu di Kedaton, ada pula ke beberapa perumahan di Kota Bandar Lampung. Yang terbanyak ditujukan ke Sekretariat Redaksi Teknokra di Gedung Graha Kemahasiswaan, Jalan Sumantri Brojonegoro. “Semua pesanan memakai nama dan nomor telepon saya,” kata mahasiswa Fakultas Keguruan dan Ilmu Pendidikan Universitas Lampung itu sambil menunjukkan foto-foto tangkapan layar berisi pesan para pengojek.

Mitha kemudian sadar bahwa akun Gojek miliknya dibajak. Ia menduga pelakunya adalah orang-orang yang berusaha menggagalkan diskusi bertema “Diskriminasi Rasial terhadap Papua” yang diselenggarakan esok harinya. Ketika serbuan makanan makin banyak, Mitha dan dua pengurus Teknokra mengungsi ke rumah aman untuk menghindari benturan dengan para pengemudi Gojek.

Dugaan Mitha soal teror itu kian kuat karena di waktu yang hampir bersamaan, pembicara diskusi, Tantowi Anwari, juga mendapat kiriman tujuh paket makanan melalui aplikasi Grab ke rumahnya di kawasan Fatmawati, Jakarta Selatan. Menurut Tantowi, akun Gojeknya pun diretas. Pelakunya mentransfer sejumlah saldo GoPay milik aktivis Serikat Jurnalis untuk Keberagaman itu ke salah satu lembaga amal. “Padahal saya tak pernah menyumbangkan saldo ke lembaga itu,” ujar Tantowi.

Akun Gojek istri Tantowi ikut dibajak. Saldo GoPay istrinya terkuras habis oleh transaksi yang tidak dikenal dengan menggunakan fitur pembayaran Gojek PayLater. Esok paginya, sekitar pukul tujuh, berdatangan pengemudi GoRide ke rumah Tantowi dengan pesanan fiktif atas nama istrinya. Setelah aplikasi Gojek dihapus, barulah serangan order fiktif berhenti.

Pengamat keamanan dan fintech dari PT Vaksincom, Alfons Tanujaya, mengatakan pembajakan akun yang dilakukan peretas biasanya bertujuan menguras saldo milik akun tersebut. Pembajakan itu bisa terjadi karena kode one-time password (OTP) yang dikirimkan aplikasi ke pemilik akun diberikan kepada pembajak. “Kalau kode otorisasi OTP tidak jatuh ke pihak lain, seharusnya akun tidak berpindah,” ucap pendiri PT Vaksincom—perusahaan pembuat antivirus—itu.

Adapun soal serbuan pesanan makanan fiktif, kata Alfons, bisa dilakukan peretas tanpa harus membajak akun. Pelaku cukup membuat akun fiktif dengan nomor telepon dan alamat surat elektronik. Alfons menilai ada kelemahan atau celah pada sistem dan pengawasan Gojek dan Grab, yang tak bertindak atau mencurigai pesanan yang tak lazim. “Mereka seharusnya aktif mengevaluasi kelemahan dan melakukan pembenahan untuk mencegah eksploitasi yang sama terjadi lagi,” ujarnya.

Dalam kasus peretasan yang dialami Mitha dan Tantowi, keduanya mengaku tidak pernah menerima kode OTP ataupun notifikasi, baik berupa pesan pendek (SMS) maupun surat elektronik, dari Gojek dan Grab. Tantowi hanya menerima surel yang memberitahukan saldo GoPay disumbangkan ke lembaga amal. Sedangkan Mitha menyatakan tak pernah membagikan OTP atau akunnya kepada orang lain.

Ketua dan pendiri Indonesia Cyber Security Forum, Ardi Sutedja K., mengatakan peristiwa itu terjadi bukan karena ada kelemahan pada sistem keamanan data ojek online, melainkan lantaran pengelola ojek online tidak menerapkan antisipasi risiko pihak ketiga. Dia mencontohkan, untuk membuka akun aplikasi ini, seseorang tidak dimintai salinan kartu tanda penduduk atau nomor induk kependudukan sebagai verifikasi keabsahan identitas. Jadi, kata Ardi, siapa pun yang memiliki identitas fiktif bisa menggunakannya.

Screen shot dari korban peretasan akun gojek atas nama Mitha Setiani Asih. Dok Pribadi

Ardi juga mempertanyakan ada-tidaknya institusi yang melakukan pengawasan serta audit keamanan sistem dan aplikasi terhadap platform seperti Gojek dan Grab. Ia mengingatkan, pengelola ojek online seharusnya menyadari posisinya sebagai perusahaan publik karena banyak pihak sangat bergantung pada platform tersebut. “Karena itu, tata kelola keamanan datanya harus transparan,” ujar Ardi.

Tempo tidak mendapat tanggapan dari Grab ihwal dugaan peretasan terhadap akun pelanggannya. Public Relations Manager Grab Indonesia Andre Sebastian tidak menjawab panggilan telepon Tempo. Pesan WhatsApp yang dikirimkan ke nomor ponselnya pun hanya bertanda centang biru. Begitu pula pesan WhatsApp yang dikirimkan ke nomor ponsel Presiden Grab Indonesia Ridzki Kramadibrata.

Gojek, melalui Vice President Regional Corporate Affairs Michael Say, memberikan pernyataan tertulis. Gojek menyesalkan dan mengecam kejadian yang menimpa Mitha. “Modus penipuan ini tak hanya meresahkan Mitha, tapi juga mitra driver kami yang bekerja keras memenuhi pesanan pengguna,” tulis Michael dalam pernyataan yang diterima Tempo pada Sabtu, 27 Juni. Namun dia membantah ada peretasan sistem atau kebocoran data pengguna dalam kejadian tersebut.

Menurut Michael, pihaknya telah menghubungi Mitha dan menindaklanjuti pengaduan. Dia mengklaim tak ada kerugian finansial yang dialami Mitha dan mitra-mitra pengemudi Gojek karena semua order telah dibatalkan. Michael menegaskan, platformnya siap bekerja sama dengan kepolisian untuk menegakkan proses hukum. Ia juga siap membantu pengguna dan mitra pengemudi yang mengalami modus penipuan tersebut.

Gojek, kata Michael, berusaha memprioritaskan keamanan. Misalnya menerapkan Gojek Shield untuk melindungi keamanan data pengguna, mitra, dan rekan usaha. Salah satu teknologi Gojek Shield yang dicontohkan Michael adalah fitur notifikasi kepada pengguna ketika ada pihak yang berusaha melakukan penipuan.

Namun, menurut Mitha Setiani Asih, tidak ada penjelasan mengenai kejadian yang menimpanya dari Gojek. Ia juga mengaku kesulitan menghubungi call center Gojek saat hendak melaporkan penyalahgunaan akunnya dan menonaktifkan akun tersebut. “Proses penonaktifan akun sangat lama. Padahal ini sangat berdampak pada para driver Gojek,” ujarnya. Mitha mengaku masih merasa trauma untuk menggunakan jasa GoFood.

DODY HIDAYAT, RAYMUNDUS RIKANG