Jakarta, CNN Indonesia -- Pengamat menilai bahwa kode OTP adalah kunci dari kasus penipuan Gopay yang melanda sejumlah pengguna Gojek. Menurut pakar keamanan siber sekaligus pendiri Vaksin.com, Alfons Tanujaya, menyebut bahwa kode
one time password (OTP) mestinya hanya boleh diketahui dan digunakan oleh pengguna sendiri.
"Password OTP yang memang seharusnya tidak boleh diberikan kepada siapapun," tuturnya saat dihubungi oleh
CNNIndonesia.com melalui pesan teks, Senin (11/12).
Sebab, kode OTP ini menjadi kunci bagi orang lain untuk masuk ke akun pengguna.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
"Jangankan (OTP) SMS. Mau pakai token
internet banking juga, kalau ditelepon, lalu yang menerima telepon memberitahukan (kode token atau) OTPnya,
yah sama saja bohong," ujarnya lagi.
 Gojek hanya meminta nomor telepon atau email saat pengguna login. Password lantas dikirim lewat SMS menggunakan OTP. Saat OTP dikirim, Gojek telah memberi peringatan agar pengguna tak memberikannya kepada siapapun (dok. Istimewa) |
Berdasarkan pengamatan
CNNIndonesia.com, aplikasi Gojek saat ini memang hanya meminta nomor ponsel atau email pengguna untuk login. Sementara password untuk masuk ke akun, hanya mengandalkan kode OTP tersebut.
Saat kode OTP dikirim, Gojek pun telah memberi peringatan agar pengguna tidak memberikan kode ini kepada siapapun.
Teknik rekayasa sosialAlfons lantas menyebutkan bahwa kasus penipuan gopay ini menggunakan teknik rekayasa sosial. Teknik ini salah satunya digunakan untuk menjebak pengguna dengan menipu lewat iming-iming hadiah dan lantas meminta korban memberikan password mereka sendiri.
"Cara yang digunakan oleh penipu [...] memanfaatkan rekayasa sosial dan tidak ada canggih-canggihnya," jelas Alfons.
Sebab, menurut Alfons sepanjang pengguna tidak memberikan kredensial berupa kode OTP itu, penipu tak bisa masuk ke akun mereka dan menyedot saldo Gopay yang dimiliki.
Terkait kemungkinan adanya kebocoran data pengguna, Alfons menyebut sebenarnya hal itu tak menjadi masalah sepanjang pengguna tidak memberikan kode OTP mereka.
"Kalau dia berusaha masuk dari perangkat lain, sepanjang tidak diapprove (memberikan kode OTP) tidak akan bisa masuk.
Poinnya adalah
user-nya
approve," tandasnya.
Sebelumnya, pengamat keamanan dari Lembaga Riset Keamanan Siber dan Komunikasi (CISSRec) menilai kalau sistem keamanan Gopay tidak buruk dan pengamanan menggunakan kode OTP sudah baik.
Gojek sendiri memberitahukan kepada pengguna lewat akun Twitternya agar tidak memberikan kode OTP kepada pihak ketiga.
(eks)