“PENCURIAN” IDENTITAS

“Pencurian” identitas atau identity theft, marak terjadi. Sayang sekali, sebetulnya identitas kita tidak bisa dicuri. Dan mungkin akan lebih baik jika identitas kita benar-benar bisa dicuri.

BUSINESSWEEK edisi April lalu menceritakan percobaan hacking terhadap komputer salah satu kontraktor Pentagon. Metode hacking-nya sebetulnya sederhana, hanya berupa e-mail phishing yang menjebak kontraktor tersebut agar mengklik sebuah link. Bedanya adalah e-mail phish ini dirancang spesifik dengan nama dan alamat e-mail petinggi militer AS (yang dikenali oleh si kontraktor) beserta cerita meyakinkan tentang rencana pembelian senjata. Andai di-klik, sebuah malware akan terinstal untuk merekam ketikan keyboard dan mencuri data rahasia pertahanan AS, karena jaringan komputer perusahaan kontraktor tersebut memang menyimpan berbagai dokumen Pentagon yang sifatnya classified. E-mail phish ini datang dari sebuah server di China, namun identitas jelasnya belum diketahui. Phishing yang kita terima sehari-hari saat ini kebanyakan masih masal dan tidak tertarget, misalnya undangan memperbarui data di ISP AOL atau bank Wells Fargo (padahal kebanyakan orang di Indonesia tidak memiliki akun tersebut). Namun dengan banyaknya data pribadi yang tersedia gratis di Internet, bisa saja phishing masa depan lebih tertarget dan dipersonalisasi seperti kasus di atas. Bayangkan jika kita menerima e-mail dengan nama dan alamat e-mail dari teman yang memang kita kenal, dengan isi e-mail sesuai topik hangat yang memang sedang kita bicarakan, dan mengundang kita mengklik link yang tampaknya menuju website yang memang sering kita kunjungi. Tentu akan lebih banyak orang terkecoh. Internet memang gudang informasi, termasuk informasi personal. Situs jejaring sosial, misalnya, adalah surga digital untuk menimba data pribadi. Pengguna Internet di Amerika Serikat saja sekitar 220 juta atau 73% (di Indonesia baru di bawah 10%). Sementara pengguna jejaring sosial di AS sekitar 20%, tapi di kalangan muda 18-29 tahun mencapai 66%. Bayangkan banyaknya data pribadi yang bisa digali. Masih di AS, selama 2003-2007 sekitar 8-10 juta orang (atau 3% penduduk) menjadi korban penyalahgunaan identitas, dengan total kerugian per tahun sekitar US$50 milyar. Namun, alih-alih dari data akun-akun di situs Internet, kebocoran utama data pribadi malah dari kartu kredit. Pengguna kartu kredit di AS pun sama seperti populasi Internetnya, 75% penduduk, namun 3 dari 4 kasus penyalahgunaan identitas adalah pada kartu kredit: entah dari lembar tagihan bulanan yang dibuang ke tempat sampah, dari kartu yang diserahkan kepada petugas kasir (karena CCV yang katanya seharusnya rahasia dan menjadi kunci transaksi Internet malah dicetak di permukaan kartu), atau dari pendaftaran kartu kredit di mal/tempat umum (di mana si penerima pendaftaran bisa saja penjahat yang sedang mengoleksi data). Memang kita tidak dapat langsung membandingkan kedua set angka ini. Akun di situs Internet sering kali tidak berhubungan dengan uang, sesuatu yang diincar oleh pelaku kriminal. Akun di situs Internet juga seringkali berisi data palsu dan asal. Namun, itu jugalah salah satu kelebihan Internet: mereka yang ingin anonim bisa melakukannya. Mendaftar akun kartu kredit, di sisi lain, mewajibkan kita menyerahkan (terlalu) banyak data pribadi asli seperti nama, tanggal lahir, nomor KTP, alamat, dan sebagainya. Bila data ini bocor (bukan sekali dua kali terjadi baik di bank besar maupun kecil), identitas kita ini mudah sekali disalahgunakan dan dipakai ulang di tempat lain. Istilah penyalahgunaan di bahasa Inggris, identity theft (diterjemahkan menjadi “pencurian informasi”) sebetulnya tidaklah tepat karena data pribadi kita tidak bisa dicuri sehingga hilang, melainkan hanya bisa disalahgunakan. Alangkah asyiknya jika terdapat mekanisme untuk membuat data person, “acak” untuk mendaftar ke bank atau lembaga lain, sama seperti kita membuat akun-akun asal di Internet. Data pribadi utama kita yang asli diketahui hanya oleh satu lembaga tepercaya untuk tujuan hukum dan dicatat linknya ke person-person buatan kita. Sisanya, untuk mendaftar ke pihak-pihak ketiga termasuk bank kita menggunakan person-person buatan. Jika person kita disalah gunakan, bisa kita deklarasikan hilang dan ganti dengan yang baru. Person lama kini invalid dan tidak bisa lagi disalahgunakan. Dengan kata lain, alangkah enaknya jika identitas kita benar-benar bisa “dicuri.”(steven@masterwebnet.com)