Hacking for Hire, Peretas Sewaan yang Menyasar Tukang Kritik

Visual: Galih Kartika/Yongkru

Aktivis yang kerap mengkritisi kebijakan pemerintah atau korporasi punya musuh baru.

Akun Instagram milik Yayasan Lembaga Bantuan Hukum Indonesia (YLBHI), @yayasanlbhindonesia, mendadak tidak bisa login. Admin yang biasa bertugas mengelola media sosial lembaga bantuan hukum non-profit ini tak bisa mengakses sejak Senin (15/6) siang.

Pengurus LBH menduga peretasan masif yang tengah menyasar akun media sosial organisasi atau individu tertentu, kini menimpanya. Apalagi, LBH baru saja menggelar diskusi bertajuk 'Tanda-Tanda Otoritarianisme Pemerintah' pada sehari sebelumnya. "Melihat fenomena yang ramai tentang peretasan, kemarin kita meminta supaya lebih berhati-hati aja, karena mungkin saja bisa terjadi ke YLBHI," kata Ketua Bidang Jaringan dan Kampanye YLBHI, Arif Yogiawan dikutip dari CNN Indonesia.

Rekan sejawat YLBHI seperti sedang diuji musuh tak kasat mata yang menyusup ke akun private. Sebut saja laman media Magdalene.co yang mendapat serangan DdoS (distributed denial-of-service). Serangan membuat situs media isu perempuan mendadak tak bisa diakses karena tiba-tiba lalu lintas pada server, sistem, dan jaringan banjir traffic. Kemudian akun Twitter Konde.co (@konde.co) juga tak bisa diakses lagi. Keduanya mengeluh tak bisa diakses pada 15 Mei lalu.

Kemudian beberapa aktivis juga tertimpa masalah yang sama. Kemudian akun pribadi Koordinator Jaringan Advokasi Tambang (Jatam) Merah Johansyah, Ketua Badan Eksekutif Mahasiswa Universitas Indonesia (BEM UI) Fajar Adi Nugroho. Sebut saja aktivis Gejayan Memanggil Syahdan Husein, pengamat kebijakan publik Ravio Patra, serta peneliti SafeNet Damar Juniarto.

Insiden Ravio pada April lalu membuat peretasan menjadi isu serius. Ravio tiba-tiba tak bisa log in, dan akunnya malah mengirim pesan kepada banyak grup berisi pesan provokatif. "KRISIS SUDAH SAATNYA MEMBAKAR ! AYO KUMPUL DAN RAMAIKAN 30 APRIL AKSI PENJARAHAN NASIONAL SERENTAK, SEMUA TOKO YG ADA DIDEKAT KITA BEBAS DIJARAH".

Pagi itu Ravio langsung melaporkan keganjilan yang terjadi terhadap akunnya. Alih-alih mengurus peretasan, penegak hukum malah mengurus jarkoman yang tidak ditulis oleh Ravio sendiri. Polisi merasa pesan berantai atas nama akun Ravio telah melakukan provokasi, dan pemilik akun layak ditangkap karena dianggap melanggar hukum. Ravio kemudian diciduk oleh Polda Metro Jaya, meski kemudian dibebaskan dengan status hukum menggantung. 

Ravio Patra usai dibebaskan Polda Metro Jaya. Dok: Istimewa

Pelakunya di Indonesia sih boleh nggak ketahuan. Tapi di negara lain, fenomena yang disebut Hacking for Hire sudah terungkap ke publik. Polanya hampir sama yakni menyasar akun-akun lembaga atau individu yang kerap mengkritik kebijakan atau menyoroti perilaku perusahaan. Peretasan seperti ini dilakukan terstruktur dan masif. 

Jaringan peretas yang ramai terungkap adalah kelompok Dark Basin yang berkantor di India. Dark Basin disebut mendapat orderan dari perantara untuk melindungi klien yang kebanyakan orang berkepentingan. Menurut Citizen Lab University of Toronto, setidaknya ada 28 ribu di seluruh dunia yang diretas. Peretasan menyasar pejabat politik, pebisnis, aktivis HAM, hingga jurnalis.

Temuan bermula ketika banyak aktivis lingkungan mendapat email mencurigakan berisi protes terhadap Exxon Mobil di tahun 2017. Ketika itu, email para pegiat lingkungan kedatangan email berupa tautan artikel terkait isu Exxon dan tampak begitu meyakinkan. Email dikirim menggunakan akun aktivis dan pengacara yang masuk jaringan advokasi.

Peretas berharap orang-orang yang menerima email bisa mengklik tautan yang ternyata berisi malware guna membuka akses data. Pesan singkat berbahaya ini tidak hanya lewat email, namun bisa juga lewat pesan WhatsApp atau SMS. Kini laporan peretasan tengah ditelusuri oleh penegak hukum AS dan telah menetapkan satu orang tersangka.

Di Indonesia, belum ada langkah penyelidikan konkret terkait peretasan serupa. Ravio misalnya telah melaporkan dugaan peretasan kepada polisi. Namun hampir dua bulan, belum ada titik terang penyelidikan, meski polisi mengaku telah mengajak Facebook untuk menelusuri peretasnya.

Sampai hukum memberi perhatian pada kasus peretasan, pengamanan bisa tetap dilakukan. Di WhatsApp, kita bisa mengaktifkan two-step verification. Kemudian mengaktifkan notifikasi keamanan, dan menambah otentikasi lewat pemindai jari. Jangan lupa untuk selalu keluar dari semua device web.

Kenapa kita harus ribet untuk mengamankan diri sendiri? Karena mengkritik kini tak hanya berhadapan pada buzzer, tapi juga hacker for hire.