2 Kelemahan Platform 'Pembunuh' OTP Telkomsel Versi Pakar

Sejumlah pakar keamanan siber menilai platform verifikasi mobile Telkomsel Authentication Protection-Mobile Network Verification (TAP-MVN), yang memangkas proses input PIN sebagai syarat otentifikasi, memiliki sejumlah kelemahan.

Pertama, tergantung pada jaringan internet. Tanpanya, transaksi tak bisa dilakukan lewat platform ini.

"Dengan MNV-TAP yang ditawarkan Telkomsel, praktis yang terlihat sebagai kelemahan utama adalah bahwa teknologi ini hanya bisa bekerja dengan jaringan internet saja, artinya saat kita berada di wilayah yang tidak mendapatkan akses internet, layanan ini menjadi tidak bisa berjalan," tutur Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha, lewat pesan teks, Selasa (28/6).

Lihat Juga : Telkomsel Rilis TAP-MVN, Pelanggan Korporasi Ucap Selamat Tinggal OTP

Kedua, ponsel sudah disusupi malware. "Perlu disampaikan juga ke masyarakat bahwa bukan berarti dengan adanya teknologi ini (TAP) masyarakat menjadi 100 persen aman dari serangan misalnya dari malware," kata Pratama.

Program jahat ini biasanya menyusup lewat link yang disebar melalui medsos, email, hingga situs palsu. Tujuannya, mengambil identitas atau data pribadi korban.

"Sejauh mana menghadapi malware yang sudah ada di perangkat smartphone dan tablet penggunanya," ucap Pratama.

"Seperti kita tahu, kelemahan dari OTP SMS maupun OTP lain dengan aplikasi bahkan token adalah adanya kemungkinan perangkat ini telah dikuasai oleh pihak lain, lewat malware misalnya," lanjut dia.

Menurutnya, pengguna TAP seharusnya dibekali dengan literasi ketika menghadapi serangan malware yang menyerang perangkat pengguna.

"Seluruh teknologi yang ditawarkan oleh Telkomsel ini harus diimbangi oleh edukasi kepada pengguna, sehingga maksimal dalam melakukan pengamanan dari sisi user dan juga teknologi yang ditawarkan," kata Pratama.

Terpisah, pakar keamanan siber dari Vaksin.com Alfons Tanujaya juga menyoroti operasi TAP yang memanfaatkan data traffic pengguna.

"Jadi perlu dilihat lebih jauh kalau tidak ada jaringan seluler apakah bisa berfungsi dengan baik," kata Alfons kepada CNNIndonesia.com lewat pesan teks, Selasa (28/6).

Meski demikian, ia tak menampik jika layanan OTP saat ini sudah mengarah ke passwordless atau tanpa password. Untuk standar internasionalnya, kata dia, adalah FIDO Alliance yang sudah disepakati sejumlah perusahaan teknologi global, seperti Apple dan Microsoft.

Sebelumnya, Telkomsel merilis TAP yang bisa memangkas proses input password, one time password (OTP), atau pun PIN. Singkatnya, platform ini membuat pengguna ekosistem digital tak usah memasukkan PIN atau password otentifikasi yang biasanya dikirimkan via SMS, WhatsApp, maupun panggilan seluler.

Meski demikian, TAP saat ini hanya tersedia bagi pelanggan Telkomsel Enterprise, yang terdiri dari Usaha Kecil, Mikro, dan Menengah (UMKM), korporasi, dan lembaga pemerintah, belum kepada individu.

"TAP memungkinkan pengguna melakukan otentikasi menggunakan URL (Uniform Resource Locator alias alamat situs web) yang diverifikasi melalui nomor telepon (MSISDN) dengan memanfaatkan jaringan operator selular secara real-time," ujar Vice President Enterprise Business Management Telkomsel Hanang Setiohargo, Selasa (28/6).

[Gambas:Video CNN]