New York, Cyberthreat.id – Bayangkan jika di sebuah jalan protokol kota, mobil-mobil berhenti mendadak. Pemilik mobil tak tahu mengapa mesin mobilnya mati sendiri. Apa yang terjadi setelah itu?

Tabrakan beruntun bisa saja terjadi. Kota menjadi macet. Efek domino melebar ke mana-mana. Akhirnya, dari persoalan mobil berkembang menjadi masalah seluruh penduduk kota.

Itulah gambaran yang terjadi jika mobil-mobil dimatikan secara jarak jauh oleh hacker atau peretas. Mobil-mobil saat ini sebagian telah dirancang secara digital dan terkoneksi dengan alat pelacak sistem pemosisi global (GPS). Inilah celah yang disusupi peretas.

Adalah L&M, demikian dia menyebut dirinya sebagai peretas kepada Motherboard, media daring teknologi Grup Vice Media yang berbasis di New York, Amerika Serikat. Namanya mirip dengan merek rokok Amerika yang diproduksi oleh Ligget & Myers Tobacco Company.

---

Berita Terkait:

• Cybersecurity Jadi Prioritas Produsen Mobil di Amerika Serikat
• Soal Cybersecurity Mobil di Indonesia, Ini Jawaban Gaikindo

Dalam laporannya pada 24 April 2019, Motherboard mengatakan, L&M memberitahu bahwa dirinya bisa meretas ribuan mobil di sejumlah negara. Mula-mula ia membobol ribuan akun milik pengguna dua aplikasi pelacak GPS. Dari situlah, peretas mampu memantau lokasi puluhan ribu kendaraan, bahkan mematikan mesin saat mobil bergerak.

L&M mengaku telah meretas 7.000 akun di aplikasi iTrack dan lebih dari 20.000 akun di aplikasi ProTrack. Tak hanya memantau pergerakan di satu negara, peretas itu mampu melacak kendaraan di sejumlah negara, termasuk di Afrika Selatan, Maroko, India, dan Filipina. "Pada beberapa mobil, perangkat lunak itu memiliki kemampuan untuk mematikan mesin kendaraan dari jarak jauh," tulis Motherboard.

Dengan merekayasa kedua aplikasi itu, peretas mengungkapkan, para pengguna aplikasi itu kebanyakan hanya menggunakan kata sandi 123456 ketika mendaftarkan di aplikasi.

Keterangan: Tangkapan layar dari L&M yang menunjukkan letak mobil-mobil yang diretasnya. Foto: motherboard.vice.com

Setelah berhasil membobol akun pengguna, L&M mengumpulkan data informasi pribadi seperti nama dan model perangkat pelacak GPS yang dipakai, nomor ID unik perangkat (IMEI), nama pengguna, nama asli, nomor telepon, alamat email, dan alamat fisik. Namun, ia mengaku hanya bisa mendapatkan semua informasi itu pada sebagian pengguna.

Ketika Motherboard mengonfirmasi data pengguna yang bocor itu, empat orang yang ditanya membenarkan kebenaran data yang dimiliki peretas.

"Target saya sebetulnya perusahan, bukan pelanggan. Pelanggan berisiko karena perusahaan," kata L&M kepada Motherboard dalam sebuah percakapan online.

"Mereka menghasilkan uang, tapi tidak ingin mengamankan pelanggan mereka," ia menambahkan.

L&M bahkan mengaku bisa melakukan lebih dari sekadar memonitor kendaraan bermotor milik pelanggan. "Saya benar-benar dapat membuat masalah lalu lintas besar di seluruh dunia," kata dia.

"Saya telah sepenuhnya mengendalikan ratusan ribu kendaraan dan dengan satu sentuhan saya dapat menghentikan mesin kendaraan itu," ia mengatakan sekali lagi.

Keterangan: L&M menunjukkan fitur mematikan mesin mobil dari alat pelacak GPS. Foto: motherboard.vice.com

Namun, ia mengklaim belum pernah mematikan saat mobil bergerak karena hal itu sangat membahayakan. Meski ia tak membuktikan cara kerjanya itu, sumber Motherboard di Concox, pembuat salah satu perangkat keras pelacak GPS yang dipakai di ProTrack dan iTrack, mengatakan, bahwa pengguna memang dapat mematikan mesin dari jarak jauh jika kendaraan melaju di bawah 20 kilometer per jam.

Rahim Luqmaan, pemilik Probotik System, sebuah perusahaan di Afrika Selatan yang memakai ProTrack, juga menuturkan, bisa mematikan mesin jika teknisi mengaktifkan fungsi itu saat pemasangan perangkat pelacak.

Ketika mengetahui adanya peretasan itu, ia mengaku kaget karena hal itu sangat membahayakan. "Dia (peretas) bisa membuat pusing para klien dan pelanggan kami," ujar dia.

Menurut L&M, sejak dirinya bisa membobol aplikasi itu, ProTrack telah memberitahu pelanggan melalui aplikasi dan email agar segera mengubah kata sandi.

Namun, ProTrack ketika dikonfirmasi membantah telah terjadi kebocoran data penggunanya. Perusahaan justru meminta agar pengguna segera mengubah kata sandi.

"Sistem kami bekerja dengan sangat baik dan mengubah kata sandi adalah cara normal untuk keamanan akun seperti halnya sistem lain, ada masalah?" ujar perwakilan perusahaan.

"Terlebih lagi, mengapa Anda menghubungi pelanggan kami untuk hal ini yang membuat mereka menerima email yang membosankan ini. Mengapa hacker justru menghubungi Anda?"

Sementara, iTrack tidak menanggapi permintaan komentar melalui email.

Minta Imbalan

L&M memang telah menghubungi perusahaan untuk meminta imbalan atas peretasan itu. Ia pun menunjukkan gambar screenshoot dari permintaan ProTrack agar dirinya memberikan harga yang murah.

"Jika kami membayar Anda, Anda akan memberi kami alat dan tidak akan meretas akun kami lagi? Bagaimana kami bisa memastikan hal ini? begitulah komentar perusahaan dalam emailnya.

Sayangnya, L&M menolak untuk berbagi lebih banyak tentang interaksinya dengan perusahaan itu. Hanya, ia mengaku telah mendapatkan apa yang diinginkannya.

"Mereka telah mengingatkan saya setelah kejadian itu dan itulah kesuksesan saya. Untuk memaksa mereka menjaga keamanan aplikasinya. Kini mereka sudah tahu bahwa pelanggan mereka berisiko. Jadi, mereka fokus pada bagaimana mengamankan layanan mereka, sedikit," kata L&M.