Pakar keamanan siber menilai kode one-time password, atau OTP, yang diberikan lewat SMS lebih aman dibandingkan melalui aplikasi pesan instan.
CEO dan Chief Digital Forensic Indonesia, Ruby Alamsyah, dalam keterangan tertulis, menyatakan jika e-commerce atau bank ingin mengalihkan pengiriman kode OTP dari SMS ke layanan pesan instan, mereka harus menjelaskan alasan pengalihan kepada pengguna mereka.
OTP diberikan sebagai keamanan tambahan ketika pengguna akan melakukan transaksi, untuk mencegah pencurian atau penyalahgunaan akun. Umumnya OTP diberikan melalui SMS, namun, ada penyedia layanan yang memberikan pilihan OTP dikirim lewat aplikasi pesan instan.
Ruby menilai jika kode OTP dialihkan ke aplikasi pesan instan, ada kesan tidak percaya terhadap keamanan platform SMS yang disediakan operator seluler, apalagi beberapa waktu lalu terdapat kasus kriminal menggunakan metode SIM swap.
"Jika alasannya bank tidak percaya kepada pihak ketiga karena ada isu SIM swap kemarin, maka alasan keamanan belum tentu sesuai untuk melakukan migrasi pengiriman OTP dari SMS ke OTT pesan instan. Sebab platform pesan instan tersebut disediakan oleh pihak ke tiga," kata Ruby.
Ruby mengakui platform over the top pesan instan tidak ada intervensi dari operator dan secara teori, OTP akan langsung sampai ke tangan pengguna. Tapi, beberapa waktu belakangan beredar juga kasus peretasan aplikasi pesan instan.
Dia melihat peralihan OTP dari SMS ke pesan instan tidak optimal untuk menjawab isu keamanan.
"Menguasai aplikasi OTT pesan instan jauh lebih mudah ketimbang menguasai SMS," kata Ruby.
Pesan instan dilengkapi dengan enkripsi end-to-end, tidak ada yang bisa membaca pesan kecuali pengirim dan penerima. Perusahaan OTT penyedia platform pun tidak mengetahui isi pesan tersebut.
Tapi, Ruby melihat aplikasi pesan instan masih bisa diambil alih peretas. Sementara itu, untuk mengambil alih atau menyadap SMS, diperlukan alat yang canggih.
Mengambil alih SMS bisa dilakukan lewat SIM swap, namun, metode tersebut melibatkan pihak lain. Dalam kasus wartawan Ilham Bintang beberapa waktu lalu, pencuri yang sudah mengantongi identitas korban datang ke gerai operator seluler untuk mengurus kartu SIM baru.
Ruby berpendapat jika alasan mengalihkan kode OTP ke pesan instan adalah efisiensi dan harga, hal tersebut bersifat relatif, namun, keamanan tetap yang utama.
“Jangan sampai kemudian hari, perbankan dan e-commerce menyalahkan pelanggan yang tidak mengamankan aplikasi OTT pesan instan,” kata Ruby.
Baca juga: RUU Perlindungan Data Pribadi urgen untuk diselesaikan
Baca juga: Kominfo harap masyarakat sadar lindungi data pribadi
Baca juga: RUU Perlindungan Data Pribadi perlu atur kerja sama internasional
Pewarta: Natisha Andarningtyas
Editor: Ida Nurcahyani
Copyright © ANTARA 2020