Hati-hati, Akun Google Bisa Bawa Masalah Serius

Baru saja saya mengalami masalah dengan akun google.  Ini adalah kisahnya…

Kita tahu, google telah mengadopsi sistem single sign-in untuk berbagai layanan.  Artinya, hanya dengan sign-in ke satu layanan Google maka kita bisa mengakses seluruh layanan. Benar-benar nyaman, karena hanya dengan sekali login kita terhubung dengan layanan-layanan populer Google, mulai e-mail, drive, youtube, blogger, hingga Google walet.

googleMungkin karena begitu terintegrasinya layanan yang dimiliki, tidak heran jika Google memberlakukan standard security yang ketat pula.  Iya, wajar saja. Bayangkan, kalau akun email Google kita jatuh ke tangan orang lain, ia akan bisa mengakses layanan-layanan lain.

Hari ini saya menjadi korban (katakan saja begitu ya, abis tidak dapat istilah yang pas nih), dari keketatan security google.

Cerita bermula sekitar 2 atau 3 hari lalu. Saat membuka gmail, ada notifikasi di bar atas (jelas ini notifikasi resmi google). Isinya cukup mengerikan:

Warning: we believe state-sponsored attackers maybe attempting to compromise your account or computer.  Protect your self now.” (Kata-kata terakhir itu adalah link menuju penawaran untuk melindungi akun kita dengan sistem 2-steps verification).

Awalnya saya pikir, ah masa iya? Soalnya, dalam dua tahun terakhir ini saya berada di Jepang. Logika awam saya, jika warning itu benar, pastilah itu upaya pemerintah Jepang. Saya sangat tidak yakin pemerintah Jepang melakukan itu.  Negara ini lebih dari sekedar liberal untuk melindungi privacy penduduknya (catat: penduduknya, bukan hanya warga negaranya).

Lalu saya menduga-duga, jangan-jangan warning ini datang karena keisengan saya dengan wi-fi router di flat yang saya tempati.  Di sini, koneksi internetnya via kabel LAN, jadi hanya bisa untuk satu komputer.  Karena saya menggunakan juga tablet, iPhone, dan Blackberry,  saya memasang wi-fi router sendiri.  Nah, wi-fi router ini saya beri nama “government_survailance”. Maksudnya buat iseng saja. (Seorang tetangga asal Prancis pernah bilang ke saya, “hati-hati, kita lagi diawasi sama pemerintah. ada wi-fi pengintai milik pemerintah di apato kita ini…. hehehe).

Jadi saya pikir, mungkin wi-fi ini sempat terbaca oleh sistem Google, dan mereka berasumsi komputer saya sedang berusaha diakses oleh pemerintah.

Namun demikian, saya tetap saja coba-coba searching tentang warning tersebut.  Rupanya, isu yang sama sudah mulai merebak sejak Juni 2012, bermula dari ulah pemerintah China yang memantau koneksi internet warganya. Ah, Jepang kan sangat dekat dengan China. Kedua negara ini juga sedang menghadapi masalah hubungan bilateral berkepanjangan. Jadi, warning tersebut kemungkina besar benar.

Baiklah, karena itu saya mengikuti rekomendasi Google untuk menerapkan mekanisme 2-steps verification saat login.  Teknisnya, kita harus mendaftarkan nomor handphone untuk menerima kode validasi setiap kali kita akan login ke Google.

Di Jepang, rata-rata handphone dilengkapi e-mail mobile yang disediakan operator.  Pada saat saya mendaftarkan nomor handphone saya, Google meminta e-mail mobile (yang terkoneksi ke handphone).  Yup, meskipun jarang saya gunakan, tapi email itu memang ada. Maka saya daftarkanlah e-mail itu.

Setelah itu, setiap kali login ke Google, setelah memasukan password akan ada pesan di kirim ke e-mail di handphone, berisi 6 digit angka yang harus diinput di komputer.  Mirip-mirip cara kerja token security internet bank.  Jadi, sekarang saya bisa yakin bahwa akun Google saya aman.

Lalu, terjadilah peristiwa ini…

Saya mengelola beberapa website dan blog.  Untuk website atau blog yang sifatnya sosial atau non-profit, biasanya saya hanya beli nama domain saja (yang harganya sekitar rp. 95.000-an per tahun).  Lalu, urusan hosting, saya gunakan blogger yang gratis seterusnya.  Untuk update website atau blog seperti ini, ya mesti via blogger.

Salah satu website yang saya tangani adalah www.grmconference.org, website konferensi internasional di Kyoto.  Hari ini konten-nya perlu di-update, ada beberapa informasi baru dan penting.

Saat akan login ke blogger, prosedurnya 2-steps verification tentu saja.  Setelah memasukkan password, saya menunggu kode validasi yang harusnya akan dikirim ke handphone. 5 detik, 10 detik, -handphone tidak bunyi. Saya melirik ke handphone, ada apa ya? Menunggu lagi… 30 detik, 40 detik, semenit… Tidak bunyi juga. Ah, mungkin delay, sistem sibuk (alasan paling klasik di dunia internet dan selular…hehehe).

Karena handphone tidak kunjung bunyi, saya coba minta dikirim ulang (ada link “resend code” di layar komputer). Menunggu lagi… Wah, tidak masuk juga… Pasti ada yang salah, entah dengan handphone atau dengan Google.

Lalu saya berpikir, hal ini bisa terjadi kapan saja. Yaitu situasi dimana kita tidak dapat menerima e-mail di handphone. Bisa karena sistem crash, bisa karena handphone kelupaan, atau mungkin handphone kita hilang, nomor di cancel oleh operator (otomatis e-mail handphone juga hilang). Intinya, kita tidak dapat mengakses handphone kita. Apa yang harus dilakukan?

Rupanya, di halaman login  Google ada opsi jika seandainya kita tidak bisa mengakses handphone yang telah kita daftar untuk menerima kode validasi. Saat saya klik opsi itu, muncul alternatif bahwa kode validasi akan dikirim ke nomor handphone lain yang saya tuliskan saat pertama membuat akun Google.  Nomor kedua ini adalah nomor backup, kata Google.

Saya kaget, karena nomor backup dimaksud adalah nomor handphone saya yang sudah tidak aktif (sdh setahun lebih tidak saya gunakan). Saya sudah meng-update nomor baru di halaman profil Google. Rupanya, Google membedakan detail pengguna antara halaman profil, dan di halaman data akun pengguna… Hadew!

Jadi, situasi saya adalah tidak bisa mengakses kedua handphone yang terdaftar di Google.  Akan tetapi, masih ada pilihan solusi untuk itu. Maka, saya meng-klik link “tidak bisa mengakses kedua handphone itu”.  Dan, mengagetkan, karena yang muncul adalah:

“Without your phone, it can sometimes take 3-5 business days to complete the account recovery process.”

Wow, I need to access my account now. It is urgent!

Saya coba utak-atik handphone, mencari tahu apa masalahnya mengapa tidak bisa menerima e-mail. Hasilnya, silahkan hubungi customer service di counter terdekat. Beeeh…

Maka, saya akhirnya memilih saja alternatif yang ditawarkan Google, untuk meminta proses recovery yang akan memakan waktu 3-5 hari itu.  Untuk itu, ada beberapa pertanyaan yang harus dijawab. Kata Google, kalau tidak yakin dengan jawabannya, berikan saja tebakan terbaik (If you’re unsure about something, provide your best guess).  Sebagian besar pertanyaannya adalah “required”.

Setelah mengisi beberapa pertanyaan standar (alamat email alternatif, nomor handphone yang didaftar, kapan terakhir login yang berhasil), saya memutuskan untuk menghentikan proses itu setelah ada pertanyaan: “Kapankah (tanggal, bulan, tahun) kamu pertama kali menggunakan akun Google ini?” dengan status “required”. Jadi, Google meminta saya mengetik kapan tanggal saya “sign up” akun Google pertama kali?

Cukuplah sudah. Ini sungguh keterlaluan, saya pikir. Meskipun tujuannya untuk mengamankan, tetapi saya tiba-tiba merasa keamanan saya terancam dengan sistem “2-steps verification” ini. Maka, jika e-mail handphone saya berhasil aktif kembali dan dapat menerima kode validasi untuk login, hal pertama yang akan saya lakukan adalah menghentikan fasilitas yang mengancam ini.

Saya lebih memilih untuk dipantau oleh pemerintah (mau pemerintah Jepang kek, pemerintah China kek) daripada menggunakan “2-steps verification” Google yang justru mengancam dengan kerumitannya.  Maka saya pun menulis postingan ini, hanya untuk mengatakan demikian…