Cerita ini bermula dari permintaan tolong temen. Ia mengeluh bahwa acountnya mulai dari facebook, blog hingga sejumlah email diambil alih orang. Orang iseng itu mengirimkan berita, mengubah status, mengganti foto profile, dll dengan mengatas namakan teman itu.

Saya pun memulai mencari tahu darimana asalnya penjebolan itu bermula. Selidik punya selidik ternyata teman ini punya satu email account yang menjadi pusat seluruh aktivitasnya dan jika email itu bobol maka dengan mudah si orang iseng bisa masuk account kawan saya di mana saja.

Lantas bagaimana cara "orang itu" mendapatkan password teman saya tadi? sementara dia mengaku hanya membuka emailnya di kantor dan di laptopnya, jadi tidak mungkin ia lupa logout di suatu tempat. Ia selalu membuka email melalui adress bar yang benar, jadi tidak mungkin kena phising. Saya pun langsung menuduh bahwa latopnya atau komputer kantornya mengandung software keylogger yang bisa mencuri password.

IT kantornya turun tangan untuk membersihkan semua program yang mencurigakan. Password yang sudah diganti pun di retrieve melalui email cadangan. Selesai? Tidak! Hanya bertahan beberapa jam, emailnya kembali dikuasai, oleh orang tak bertanggung jawab.

Saya pun putar otak, mengira-ngira metode apa yang digunakan pencuri password ini, supaya kita bisa bikin penangkalnya. Menurut saya sites sebesar yahoo masih sangat sulit kalau dicuri passwordnya dari dalam, jadi pasti lewat aktivitas diluar. Tapi semua kemungkinan sudah dicoba dan masih bisa ditembus juga.

Akhirnya saya justru mencoba langkah paling sederhana dan sepertinya ini cara orang tersebut memperoleh passwordnya. 

Pertama masuk ke halaman login yahoo seperti di bawah ini dan klik bagian I can’t acess my account:

Munculah sejumlah pilihan. Klik di opsi nomor dua, My password doesn’t work.

Masukan ID yang hendak dibobol klik next dan lalu pilih opsi kedua I can’t access any of the above

Proses yahoo setelahnya adalah kita akan dihadapkan pada dua buah pertanyaan security yang dibuat oleh teman saya ini. Kalau dua buah pertanyaan itu bisa saya jawab, maka saya di berikan form untuk mengisi password baru dan password yang lama tak berlaku lagi. 

Pertanyaan pertama siapa nama panggilan kamu? Dan pertanyaan kedua dimana kamu tinggal?

Okay, saya tinggal buka facebook. Profile kawan saya ini terbuka untuk public. Taruhlah sebagai contoh nama lengkapnya adalah: Tukul Riyanto Arwana . 

Maka saya bisa menebak jawaban pertanyaan pertama: kemungkinan pertama adalah Tukul, kedua , Riyanto ketiga Arwana.

Saya pun lolos ke pertanyaan kedua. Masih dari facebook, kawan saya ini mengisi hometown dengan Semarang. Maka untuk jawaban kedua saya isi Semarang.

Dan saya pun berhasil menerima form perubahan pasword seperti ini

Isi password baru dan saya pun memiliki kuasa atas seluruh accountnya dar. Klik lost password facebook, pasword pun dikirim ke email itu. Klik lost password blog, dan email pun dikirim ke email itu juga. Mudahkan? Apa berlaku untuk account lain? Saya coba test di tiga account orang lain.

Ada yang mengisi dengan pertanyaan “siapa nama binatang peliharaan kamu? Dan seperti biasa orang penyayang binatang lainnya, orang ini menempatkan foto kucing kesayangannya di facebook dan terbuka untuk public. Foldernya berjudul si belang yang imut. Anda bisa tebak sendiri jawaban pertanyaannya.

Ada yang lain mengisi dengan pertanyaan “siapa nama ibu kandung kamu?” Okay lagi-lagi lihat profile facebook, bagian parentsnya diisi dengan Abdul Wahid dan Sutimah (Alm). Bisa ditebak juga toh jawabannya.

Percobaan terakhir ada yang memasukan pertanyaan “dimana anda dan pasangan anda bertemu?”. Pertanyaan ini cukup sulit? Ternyata di salah satu folder facebooknya ada kumpulan fotonya berserta istri dengan judul, berawal dari Pancoran Jakarta berakhir dengan similikiti cinta. Okay saya coba Pancoran dan Jakarta, gak tembus, ternyata jawabannya similikiti !!

Lantas kenapa saya cerita disini? Jelas bukan untuk ditiru dan mengajarkan mencuri data-data. Saya cuma sekedar mewanti-wanti, sudahkah teman-teman sekalian memberi security question yang benar-benar sulit ditembus? Apalagi kalau profile facebooknya untuk public, pikir ulang deh security question yang teman-teman buat. 

Saya saja yang gak kenal dengan tiga account terakhir namun bisa menembusnya, apalagi kalau kenal dekat. Karena ternyata aksi penjebolan yang dilakukan itu sangat sederhana dan gak perlu alat neko-neko. Terbukti setelah security questionnya diganti, account kawan saya pun aman. Makanya kita pribadilah yang harus hati-hati!

Update: Sebagai catatan terakhir, dua security question itu bukan pertanyaan untuk mengingat password (itu kenapa yang dipilih adalah my password doesnt work). Bisa saja misalnya password kita “gajah”. tapi security question pertamanya nama ibu kita, dan security question keduanya tempat kita tinggal. Ketika saya bisa menjawab keduanya, saya tidak perlu tahu password “gajah” yang awal saya sudah bisa mengubah passwordnya. Jadi percuma pakai password yang kuat kalau security questionnya ternyata lemah.

Baca juga 9 Teknik Password Agar Tidak Mudah di Tebak