kontekbrothers/Getty
Kita mungkin pernah menerima kode konfirmasi yang dikirim melalui pesan teks saat mencoba masuk ke suatu akun. Kode-kode tersebut seharusnya berfungsi sebagai autentikasi dua faktor untuk memverifikasi identitas kita dan mencegah penipu mengakses akun hanya dengan kata sandi. Tapi, siapa sebenarnya yang menangani SMS tersebut, dan bisakah mereka dipercaya?
Laporan terbaru dari Bloomberg dan ruang redaksi investigasi kolaboratif Lighthouse Reports mengungkap bagaimana dan mengapa kode berbasis teks bisa membahayakan pengguna. Kedua organisasi mengungkap bahwa mereka memperoleh setidaknya satu juta paket data dari seorang whistleblower industri telepon. Paket tersebut berisi pesan SMS dengan kode autentikasi dua faktor yang diterima oleh pengguna.
Anda mungkin mengira pesan tersebut ditangani langsung oleh perusahaan atau situs web tempat Anda memiliki akun. Namun, menurut analisis Bloomberg dan Lighthouse, ternyata tidak selalu demikian. Dalam kasus ini, pesan melewati perusahaan kontroversial asal Swiss bernama Fink Telecom Services. Bloomberg menggunakan istilah "kontroversial" untuk menggambarkan Fink dengan alasan yang jelas.
"Perusahaan dan pendirinya pernah bekerja sama dengan agen mata-mata pemerintah dan kontraktor industri pengawasan untuk memantau ponsel dan melacak lokasi pengguna," tulis Bloomberg. "Para peneliti keamanan siber dan jurnalis investigasi juga pernah melaporkan keterlibatan Fink dalam beberapa kasus penyusupan akun pribadi."
Setelah menganalisis data, Bloomberg dan Lighthouse menemukan bahwa pengirim pesan mencakup perusahaan teknologi besar seperti Google, Meta, dan Amazon, serta beberapa bank Eropa, aplikasi seperti Tinder dan Snapshot, bursa kripto Binance, bahkan aplikasi obrolan terenkripsi seperti Signal dan WhatsApp.
Mengapa perusahaan mempercayakan kode autentikasi dua faktor ke pihak ketiga, apalagi yang reputasinya dipertanyakan? Jawabannya: kepraktisan dan biaya. Kontraktor eksternal seringkali bisa menangani pesan teks semacam ini lebih murah dan mudah dibanding perusahaan sendiri—terutama jika bisnis tersebut melayani pelanggan di berbagai negara, proses yang rumit dan mahal.
Alih-alih, perusahaan menggunakan penyedia seperti Fink Telecom karena aksesnya ke "global titles". Global title adalah alamat jaringan yang memungkinkan operator berkomunikasi lintas negara, sehingga seolah perusahaan tersebut berbasis di negara yang sama dengan pelanggannya. Dalam analisisnya, Lighthouse menemukan bahwa Fink menggunakan global titles di Namibia, Chechnya, Inggris, dan Swiss (negara asalnya).
Meski praktik outsourcing pesan semacam ini efisien, risikonya tetap ada. April lalu, regulator telepon Inggris, Ofcom, melarang penyewaan global title untuk operator di Inggris, menyebut ancaman terhadap pengguna ponsel.
Pertanyaan utamanya: apakah data dalam rekaman yang diperiksa Bloomberg dan Lighthouse pernah terancam? Dalam diskusi dengan Bloomberg, CEO Fink Telecom, Andreas Fink, menyatakan: "Perusahaan kami menyediakan infrastruktur dan layanan teknis, termasuk kemampuan pensinyalan dan perutean. Kami tidak menganalisis atau mengganggu lalu lintas yang dikirim klien atau mitra mereka."
Sementara itu, perusahaan yang melakukan outsourcing—Google, Meta, Signal, dan Binance—mengatakan kepada Bloomberg bahwa mereka tidak bekerja langsung dengan Fink Telecom. Google menambahkan bahwa mereka sedang beralih dari SMS untuk autentikasi akun, sementara Signal mengklaim menyediakan cara untuk mencegah kerentanan SMS. Juru bicara Meta mengatakan bahwa mereka telah memperingatkan mitra agar tidak berurusan dengan Fink Telecom.
Alternatif untuk SMS
Terlepas dari apakah data tersebut pernah bocor, masalahnya tetap sama: SMS tidak memiliki enkripsi yang memadai, sehingga tidak pernah menjadi metode aman untuk bertukar kode autentikasi atau informasi pribadi. Karena itu, semua perusahaan harus berhenti menggunakannya dan beralih ke metode yang lebih kuat—meski tentu lebih mudah dikatakan daripada dilakukan.
Saat mengatur autentikasi dua faktor untuk akun, jangan pilih opsi SMS. Sebagai gantinya, gunakan kunci keamanan fisik atau—yang lebih mudah—aplikasi autentikator seperti Microsoft Authenticator atau Google Authenticator. Kode yang dihasilkan aplikasi ini berubah setiap 30 detik dan dibuat di perangkat Anda sendiri, sehingga jauh lebih aman dari SMS.
Dapatkan berita terbaru teknologi langsung di inbox Anda setiap pagi dengan Tech Today newsletter.