“Akun Instagrammu telah diretas,” demikian bunyi pesan yang dikirim ke berbagai akun Instagram populer alias milik para selebgram di Amerika Serikat. Jika korban tidak membayar uang tebusan dalam bentuk Bitcoin, peretas mengancam “akunmu akan kami hapus dalam tiga jam.”
Kevin Kreider—seleb Instagram asal Los Angeles yang berfokus pada konten kebugaran—melaporkan walau sudah membayar US$100 dalam bentuk Bitcoin, rupanya itu tidak cukup untuk menyelamatkan akunnya. Si peretas terlanjur menghapus konten-kontennya. Kreider kehilangan lebih dari 100.000 follower yang diandalkan untuk bisnisnya.
Videos by VICE
Akhirnya Kreider berhasil menyelamatkan Instagramnya kembali—manajemen Instagram belum bersedia terbuka menjelaskan caranya saat dihubungi Motherboard—tapi bukan cuma Kreider yang menjadi korban peretasan sepanjang September-Oktober 2018. Para peretas rupanya telah membajak beberapa akun tertentu. Kelompok ini cenderung fokus pada akun-akun “gaya hidup” dan orang yang menggunakan Instagram untuk bisnis sebagai micro-influencer.
Manajemen Instagram belum mengumumkan kebijakan tertentu membantu para korban. Korban kedua menulis di situs pribadinya, “Instagram enggak peduli sama kita.”
Saat dihubungi Motherboard, Kreider membagikan koleksi email, screenshot, dan tanda terima mengenai peretasan dan pemerasan yang ia alami. Awalnya, ada orang memperkenalkan diri sebagai ‘Lana’ dan mengaku sebagai staf hubungan masyarakat di perusahaan fashion French Connection lewat surat elektronik kepada Kreider. Email tersebut menawarkan sponsorship kepada Kreider, dan berisi sebuah link menuju akun Instagram mereka.
Tautan itu, meskipun terlihat asli, mengalihkan Kreider ke halaman login yang bertujuan mencuri kata sandinya. Menurut catatan online yang disimpan oleh Bit.ly, sebuah layanan pemendekan link, tautan tersebut telah di-klik sebanyak 65 kali, tetapi belum jelas apakah semua klik itu berasal dari korban.
“Aku waktu itu lagi nge-gym sambil baca email, aku pikir email itu memang tawaran untuk kerjasama bareng sebuah brand yang aku suka, bisa dipamerin di Instagram, terus pas aku lihat akunku [@kevin.kreider] hilang di aplikasi IG, aku langsung panik.”
Peretasnya berhasil masuk. Tak lama setelah Kreider login di halaman yang palsu itu, hackers ini menghubungi dia untuk minta uang tebusan. Kreider pun membayar US$110 dalam bentuk Bitcoin, menurut sebuah tanda terima dari Coinbase. Walau sudah terima bayaran, ternyata si peretas tetap menghapus akun Kreider.
Tonton dokumenter VICE menyorot perkembangan kecerdasan buatan yang mengarah pada lahirnya robot pembunuh yang bisa dipakai militer:
Lindsey Simon, pengguna Instagram sekaligus korban peretas, menceritakan pengalamannya ke Motherboard dalam sebuah email: “Aku tetap berhubungan sama si peretas sambil minta bantuan dari teman aku yang jago komputer. Aku bayar sih, tapi enggak sebanyak jumlah yang mereka minta. Untuk mengulur waktu, aku bayarnya sedikit demi sedikit, sampai akhirnya temanku berhasil mendapatkan password-ku kembali.”
Cassie Gallegos adalah korban ketiga yang juga fokus pada konten lifestyle di Instagram. Gallegos menceritakan pengalaman buruknya lewat unggahan di blog pribadi. “Aku dulu punya 57 ribu followers. Aku harus kerja keras untuk mencapai jumlah follower segitu berkat rajin posting seputar fotografi (ini yang aku banggakan) serta cerita-cerita tentang travelling, hidup sepenuh-penuhnya, dan cara menghemat uang.”
Menurut Gallegos, ia sempat bernegosiasi dengan peretasnya, sehingga bayaran yang diminta turun jadi hanya US$122 dalam bentuk Bitcoin. Sayangnya, sampai sekarang, hackers ini masih menguasai akun Gallegos.
Tanggapan Instagram terhadap peretasan dan pemerasan para selebgram itu bervariasi. Ketiga korban beberapa kali menghubungi Instagram, tapi hanya menerima balasan otomatis. Mereka tidak berhasil menghubungi representatif Instagram. Simon akhirnya berhasil mengakses akunnya lagi, sedangkan akun Gallegos sampai sekarang masih terkunci.
Sesudah Motherboard menghubungi Instagram untuk mendapatkan komentar terkait peretasan akun Kreider, tiba-tiba saja Kreidermemperoleh akunnya kembali. Belum jelas bila kejadian-kejadian peretasan ini terkait satu sama lain, sebab Instagram belum merespons tawaran wawancara dari Motherboard. Korban keempat juga menulis di blognya, bahwa Instagram baru memberi akses ke akun miliknya setelah follower menekan Instagram lewat postingan dan DM agar akun si selebgram dikembalikan.
“Aku enggak dengar respons apa-apa dari Instagram. Satu katapun enggak. Aku juga enggak tahu gimana mereka mengatasinya,” ucap korban keempat, seorang lifestyle blogger bernama Anna Wood.
Liputan investigatif Motherboard sebelumnya untuk kasus peretasan serupa merujuk kemungkinan pelakunya adalah tipe peretas yang dijuluki “SIM jackers.” Dalam beberapa serangan sejenis, peretas macam ini membajak nomor ponsel korban untuk mengakses akun Instagram pesohor. Taktik peretasan ini menipu operator seluler agar menyerahkan nomor ponsel korban ke kartu SIM si peretas. Dengan cara ini, hackers dapat mengakses akun sekalipun sudah dilindungi “two-factor authentication” alias tahap kedua proses pengecekan keamanan akun (biasanya berupa kiriman kode via sms).
Instagram belakangan mulai berusaha meningkatkan keamanan semua jenis akun. Instagram baru saja menrilis fitur two-factor authentication berbasis aplikasi, yang dapat menghalangi peretas yang ingin mengakses sebuah akun, sekalipun si hacker ini memiliki sandi pemilik akun. Proses ini tidak mengandalkan nomor ponsel.
Sebuah email yang dikirim ke alamat email peretas tidak sampai dan dibalas dengan pesan error yang menyatakan alamat email itu tidak ada. Namun, Motherboard sudah memastikan username “pumpams”, yang digunakan peretas pada layanan email tertentu, masih aktif. Menurut screenshot dari peneliti keamanan yang dibagikan di Twitter, para peretas selebgram itu kemungkinan tinggal di Ukraina.
“Aku emosi banget gara-gara diretas. Aku tuh udah kerja keras banget buat jadi influencer, untuk mendapatkan kehidupan yang aku mau. Aku bekerjasama dengan Hotels.com, PierHouse Key West, Dick’s Sporting Goods, Living Proof, dan masih banyak lagi. HILANG. SEMUA JERIH PAYAHKU HILANG,” ujar Gallegos di blognya. Belum ada tanda-tanda upaya penyanderaan akun di instagram macam ini akan berakhir dalam waktu dekat.
Artikel ini pertama kali tayang di Motherboard