Minggu ini, Komisi Sekuritas dan Bursa Amerika Serikat (SEC) mengalami kebocoran yang memalukan dan berdampak pada pasar, di mana seorang peretas berhasil mengakses akun media sosial X-nya dan mempublikasikan informasi palsu tentang pengumuman SEC yang sangat dinantikan terkait bitcoin. Badan tersebut berhasil mendapatkan kembali kendali atas akunnya dan menghapus postingan tersebut dalam waktu kurang dari satu jam, namun situasinya mengkhawatirkan, terutama mengingat perusahaan keamanan terkemuka dan terkenal seperti Mandiant, yang dimiliki oleh Google, juga mengalami insiden serupa pada akun X-nya minggu lalu.
Detail tentang apa yang sebenarnya terjadi dalam setiap kasus masih sedang muncul, namun ada benang merah yang membuat pengambilalihan akun menjadi mungkin – dan ada cara untuk melindungi diri Anda.
Yang penting, kedua akun tersebut memiliki perlindungan digital yang dikenal sebagai “autentikasi dua faktor” dinonaktifkan pada saat pengambilalihan terjadi. Juga dikenal sebagai 2FA, pertahanan ini membutuhkan kode numerik yang berputar atau dongle fisik sebagai tambahan dari kredensial login seseorang, sehingga tidak hanya bergantung pada nama pengguna dan kata sandi. SEC belum mengatakan apakah mereka secara tidak sengaja menonaktifkan dua faktor sebagai hasil dari perubahan kebijakan X pada Februari 2023, yang membuat hanya akun yang membayar langganan Blue yang memiliki akses ke kode dua faktor yang dikirim melalui pesan teks. Mandiant menyiratkan pada hari Rabu bahwa perubahan ini adalah alasan mengapa mereka tidak memiliki perlindungan yang diaktifkan untuk akun X mereka, dengan mengatakan, “Biasanya, 2FA akan mengurangi risiko ini, tetapi karena beberapa peralihan tim dan perubahan kebijakan 2FA X, kami tidak terlindungi dengan baik.”
Mandiant mengatakan para peretas dapat menebak kata sandi yang melindungi akun X mereka melalui serangan “brute force”. X sendiri mengatakan pada hari Selasa bahwa peretasan akun SEC adalah hasil dari “seorang individu yang tidak teridentifikasi mengendalikan nomor telepon yang terkait dengan akun @SECGov melalui pihak ketiga.”
Dua insiden tersebut menunjukkan daftar penting langkah-langkah yang dapat Anda ambil untuk mengamankan akun X Anda. Pertama, pastikan akun Anda dilindungi dengan kata sandi yang kuat dan unik. Kedua, aktifkan autentikasi dua faktor untuk akun Anda atau, jika Anda mengira sudah mengaktifkannya, periksa untuk memastikannya. Langkah X untuk membuat orang membayar untuk bentuk dasar dari dua faktor ini membingungkan. Hal itu juga menciptakan kebingungan karena perusahaan mendorong pengguna gratis untuk beralih dari dua faktor dengan SMS, tetapi kemudian sepertinya hanya mematikan perlindungan sepenuhnya bagi mereka yang tidak melakukannya. Ini kemungkinan meninggalkan sekelompok pengguna dalam situasi di mana mereka berpikir mereka memiliki otentikasi dua faktor, tetapi sebenarnya tidak.
Untuk memastikan bahwa Anda memiliki otentikasi dua faktor atau untuk mengaktifkannya untuk pertama kalinya, masuk ke akun X Anda, buka Pengaturan dan privasi, lalu Keamanan dan akses akun, Keamanan, dan kemudian Otentikasi dua faktor. (Anda juga dapat mengklik di sini jika Anda sudah masuk ke akun X). Pada halaman itu, Anda dapat memilih antara menggunakan otentikasi dua faktor dengan aplikasi penghasil kode atau kunci keamanan fisik. Anda juga dapat menghasilkan kode cadangan untuk akun Anda agar tetap dapat masuk ke X bahkan jika Anda kehilangan akses ke faktor kedua Anda.
Terakhir, periksa apakah ada nomor telepon yang terhubung dengan akun X Anda yang bisa digunakan untuk pemulihan akun. Twitter menggunakan nomor telepon untuk “memverifikasi” akun-akun terkenal dan juga menawarkan fitur yang disebut “Perlindungan kata sandi tambahan,” di mana “Anda harus memberikan nomor telepon atau alamat email yang terkait dengan akun Anda untuk mereset kata sandi Anda.” Namun, tampaknya dengan memiliki nomor telepon yang terkait dengan akun X mereka, SEC menempatkan diri mereka pada risiko yang lebih besar, karena penyerang bisa mengendalikan akun tersebut dengan pertama-tama mengambil alih nomor telepon terkait menggunakan serangan yang dikenal sebagai SIM swap.
“Hapus nomor telepon Anda dari Twitter sama sekali untuk memastikan Anda menghindari ancaman SIM-swap dengan aliran pengaturan ulang kata sandi berbasis pesan teks yang berisiko,” kata Rachel Tobac, seorang peneliti kompromi akun jangka panjang dan CEO SocialProof Security. Dia menambahkan bahwa pengguna X harus “mengaktifkan 2FA – saya merekomendasikan menggunakan aplikasi setidaknya – dan pastikan Anda memiliki kata sandi yang kuat untuk akun Anda.”
Meskipun X telah membuat keamanan akun yang kuat menjadi lebih rumit, sangat penting untuk belajar dari kesalahan SEC dan Mandiant.