Saya Kehilangan Identitas Saya Karena Mengganti Nomor Telepon
Dua tahun lalu, saya mendapatkan nomor telepon baru. Di mata media sosial saya dan aplikasi ride-hailing, Amazon, bank saya, dan negara bagian Pennsylvania, itu efektif berarti saya kehilangan identitas saya. Baru-baru ini saya keluar dari kekacauan teknologi ini.
Proses Verifikasi Identitas yang Rumit
Duduk di meja dengan smartphone baru di tangan, saya perlahan-lahan memutar kepala saya ke atas dan ke bawah sambil menatap kamera depan. Kemudian, tanpa mematahkan kontak mata dengan lensa, saya hati-hati memutar kepala dari satu telinga ke telinga lainnya. Klip singkat itu seharusnya membuktikan kepada sistem keamanan Instagram apa yang telah saya katakan selama berminggu-minggu: bahwa saya bukanlah penipu – bahwa saya, sebenarnya, saya.
“Terima kasih atas video selfie Anda,” kata email otomatis dari Instagram. “Kami menerima informasi ini dan sedang menunggu tinjauan.”
Perjuangan Mengembalikan Akses ke Akun Digital
Saya tidak hanya lupa kata sandi Instagram saya tetapi juga tidak lagi memiliki akses ke nomor telepon lama saya: Sejak terakhir kali masuk, saya beralih ke rencana keluarga hemat uang dengan penyedia seluler baru. Untuk melewati keamanan otentikasi dua faktor Instagram – di mana aplikasi memverifikasi identitas Anda dengan mengirimkan kode rahasia melalui pesan teks – dan mendapatkan akses kembali ke 12 tahun foto kucing dan skyline kota yang difilter, saya harus mengunggah video wajah saya.
Saat menunggu tanggapan Instagram, saya membayangkan seseorang dari tim keamanan perusahaan menonton video selfie saya, memperhatikan foto-foto yang saya posting ke akun saya selama bertahun-tahun, dan mengonfirmasi identitas saya sekali dan untuk semua. Beberapa menit kemudian – terlalu cepat untuk ada orang nyata di baliknya – sebuah email tiba. “Informasi Anda Tidak Dapat Dikonfirmasi,” tulis subjeknya. Informasi saya? Maksud Anda, wajah saya?
Kesulitan Akibat Pergantian Nomor Telepon
Saya memperkirakan bahwa tiba-tiba mengganti nomor telepon akan menimbulkan beberapa masalah, tetapi saya tidak memperkirakan seberapa rumit sebenarnya. Dari Lyft dan Cash App hingga Instagram dan Amazon, tiba-tiba saya harus melompat melalui hambatan logistik yang bervariasi dari satu platform ke platform berikutnya untuk memverifikasi identitas saya dan mendapatkan kembali akses ke kehidupan digital saya. Mengonfirmasi identitas saya menjadi pekerjaan paruh waktu. Dan seperti yang saya pelajari dengan cara sulit, sesama manusia yang dapat membantu saya menyelesaikan masalah sulit ditemukan.
Sistem Keamanan Multi-Factor Authentication
Meskipun keuntungannya, sistem ini mengembangkan kelemahan serius di sepanjang jalan: autentikasi dua faktor berbasis SMS, yang mengandalkan panggilan atau pesan teks ke ponsel seseorang untuk memverifikasi identitas mereka. Berbeda dengan metode MFA yang mengandalkan aplikasi otentikator, autentikasi berbasis teks adalah cara yang paling tidak aman untuk memverifikasi identitas seseorang.
“Pasanganku” dengan Nomor Telepon: Ancaman Keamanan Multi-Faktor yang Umum
Menurut Cristian Rodriguez, chief technical officer untuk Amerika di perusahaan keamanan cyber CrowdStrike, organisasi yang kurang matang sering menggunakan kode berbasis SMS. Apple, Google, Zoom, Slack, Dropbox, PayPal, serta sebagian besar bank dan universitas besar di Amerika Serikat termasuk dalam daftar panjang situs yang masih menggunakan metode ini.
Metode ini rentan terhadap penyadapan dan serangan SIM swapping, yang memungkinkan penyerang untuk dengan mudah menghindari keamanan.
Ancaman SIM-swapping
Dalam serangan SIM-swapping, seorang hacker dapat mengendalikan nomor telepon seseorang dan membuat kekacauan dalam hidup mereka. Mulai dari akun bank dan media sosial hingga kartu kredit yang disimpan di dompet digital seperti Apple Pay, jumlah akses yang bisa didapat oleh seorang kriminal cyber sangat besar. Ini menunjukkan seberapa erat hidup kita terkait dengan nomor telepon kita.
Serangan Salt Typhoon
Baru-baru ini, para hacker yang terkait dengan pemerintah Tiongkok berhasil mengakses telepon Amerika melalui jaringan telekomunikasi dalam serangan massal yang dinamakan Salt Typhoon. Meskipun asal-usul dan dampak keseluruhan dari Salt Typhoon masih dalam penyelidikan, para ahli mengatakan bahwa infiltrasi selama dua tahun tersebut mungkin telah memengaruhi jutaan warga Amerika. Setelah serangan ini terungkap pada bulan Oktober, pemerintah memberi saran kepada masyarakat untuk berhenti menggunakan otentikasi berbasis SMS.
Nomor Telepon: Identitas yang Tidak Permanen
Berbeda dengan sidik jari atau wajah kita, nomor telepon kita bukanlah fitur identitas yang permanen. Ini hanya urutan digit acak yang diberikan kepada kita oleh penyedia seluler ketika kita mendaftar. Nomor telepon dan email: Identitas Digital dan Masalah Keamanan
Jika kita berhenti membayar, beralih penyedia seluler, atau pindah ke negara baru, nomor telepon kita bukan lagi milik kita. Bahkan alamat email – dalam kasus saya, akun Gmail berusia 20 tahun yang saya yakin akan terus menerima promosi pemasaran bahkan setelah saya meninggal – akan menjadi indikator jangka panjang yang lebih dapat diandalkan tentang siapa saya daripada nomor telepon saya. Lagi pula, alamat email saya tidak akan pernah dialokasikan ulang. Itu milik saya. Nomor telepon saya – bersama dengan sekitar 35 juta nomor yang dialokasikan ulang setiap tahun, menurut Komisi Komunikasi Federal – adalah cerita lain.
Perusahaan-perusahaan tampaknya tidak banyak menyadari masalah ini: Pada awal 2023, X memutuskan untuk mengakhiri dukungan untuk otentikasi dua faktor berbasis SMS untuk pengguna non-terverifikasi, dengan alasan kelemahannya. Mengikuti pelanggaran besar, raksasa teknologi seperti Google dan Microsoft juga mulai beralih dari otentikasi SMS. Namun, X berdiri sendiri di antara platform media sosial besar lainnya dalam menyingkirkan fitur tersebut sama sekali – sebuah fakta yang harus saya pelajari dengan cara sulit.
Mendapatkan Kembali Akses ke Akun
Dalam kebanyakan kasus, mendapatkan kembali akses ke akun saya sangat mudah. Misalnya, bank saya hanya memerlukan panggilan telepon singkat ke agen layanan pelanggan untuk mengkonfirmasi identitas saya, melewati MFA, memperbarui nomor telepon saya, dan mereset kata sandi saya.
Instagram, sebuah operasi yang jauh lebih besar dan lebih berdaya dari koperasi kredit kecil tempat saya menyimpan uang, tidak menawarkan hotline layanan pelanggan. Sebaliknya, setelah sekitar setengah lusin klik dari layar login Instagram, saya menemukan jalan saya ke dalam halaman FAQ layanan pelanggan yang menyarankan saya untuk mengirim video selfie. Saya harus mengirim beberapa video ke dalam kehampaan otomatis sebelum akhirnya aplikasi itu menyerah dan membiarkan saya kembali ke akun saya.
Kesulitan Mengakses Akun
Akun Amazon saya, yang mencakup layanan seperti Audible, Alexa, dan berbelanja di Whole Foods, ternyata adalah benteng yang sangat sulit ditembus. Setelah mengklik jalan saya melalui labirin tautan, akhirnya saya mencapai perintah yang meminta saya untuk mengunggah foto paspor saya untuk memverifikasi identitas saya. Setelah tidak mendengar apa-apa selama seminggu, saya mencoba lagi. Beberapa bulan kemudian, Amazon membiarkan saya kembali masuk. (Instagram dan Amazon tidak merespons permintaan komentar yang berulang kali.)
Dengan terus berlanjutnya AI-ifikasi layanan pelanggan dan penggunaan chatbots yang semakin meningkat, hak untuk berbicara dengan orang sungguhan semakin langka. Sampai hari ini, saya tidak dapat memverifikasi profil LinkedIn saya. Bahkan setelah meminta nomor telepon saya saat ini, platform verifikasi identitas yang digunakan oleh LinkedIn, Clear, terus mengirimkan kode enam digit ke nomor telepon lama saya, yang entah bagaimana diambil dari awan. Tentu saja, tidak ada orang yang bisa diajak bicara untuk menyelesaikan masalah ini. Oh well.
Teknologi Identitas: Mengapa Masih Sulit Melewatinya
Mengalami masalah saat terkunci dari jaringan sosial dan toko online sangat menjengkelkan. Namun, itu tidak sebanding dengan mimpi buruk yang saya alami ketika mencoba mendaftar untuk mendapatkan tunjangan pengangguran setelah dipecat dari pekerjaan jurnalistik saya.
Pemerintah negara bagian Pennsylvania menggunakan layanan bernama ID.me untuk menangani login situs web dan verifikasi identitas untuk layanan seperti tunjangan pengangguran. Di situs webnya, ID.me membanggakan integrasi dengan 19 lembaga federal, 35 organisasi terkait kesehatan, dan lebih dari 600 toko online dalam misinya untuk memberdayakan konsumen dengan “login tunggal yang memungkinkan Anda dengan mudah membuktikan bahwa Anda adalah Anda.” Hanya ada satu masalah: ID.me mengaitkan identitas digital Anda dengan nomor telepon Anda.
Masa Lalu yang Sulit Dilupakan
Ketika saya mencoba masuk ke situs pengangguran Pennsylvania untuk mengklaim tunjangan saya, saya menemukan bahwa saya sudah memiliki akun ID.me – mungkin dari situs pemerintah lain yang pernah saya akses sebelumnya. Tentu saja, akun itu terkait dengan nomor telepon lama saya.
Tanpa akses ke nomor tersebut – dan tanpa petunjuk apa pun tentang apa kata sandi saya mungkin – satu-satunya pilihan saya adalah mengajukan permintaan untuk melewati MFA dan mendapatkan kembali akses ke akun ID.me saya melalui meja bantuan pelanggan perusahaan tersebut.
Proses yang Rumit
Setelah saya menerima email konfirmasi otomatis dari Roy, yang menggambarkan dirinya sebagai “agen virtual” di ID.me, permintaan saya diabaikan selama 48 jam. Setelah beberapa tindak lanjut dan kesabaran yang besar, akhirnya saya bisa mengatur panggilan telepon dengan manusia sungguhan. Sepuluh hari setelah permintaan awal saya, saya berbicara dengan seorang agen layanan pelanggan yang mengirimkan instruksi kepada saya: Mengisi beberapa formulir dan mengirimkannya kembali bersamaan dengan pemindaian digital paspor dan kartu keamanan sosial saya. Biasanya, mengirim informasi sensitif seperti itu melalui email akan membuat saya ragu, tetapi dalam kasus ini, agen layanan pelanggan ID.me memegang identitas dan keamanan finansial saya sebagai sandera, jadi saya bersedia melakukan apa pun yang diminta. Saya hanya bisa berharap bahwa praktik keamanan cyber ID.me lebih kuat daripada operasi layanan pelanggannya.
Setelah 30 hari mengirim dan mengirim ulang berbagai dokumen identifikasi, akhirnya saya bisa masuk ke akun saya. Saat itu, saya sudah menyelesaikan kebutuhan pengangguran saya dengan cara klasik: mengajukan aplikasi secara manual melalui telepon – proses yang memakan waktu hampir tiga jam selama dua panggilan telepon yang sangat membosankan.
