Headline beberapa jam sebelum saya menulis ini adalah tentang penangkapan Ravio Patra atas tuduhan provokasi kerusuhan melalui Whatsapp nya; yang menurut orang YLBHI (pendamping hukumnya) telah diretas. Hmmm... bisa yah? Pada kasus Ravio ini, peretas mengirim surat hasutan palsu ke orang-orang. Tapi saya tidak akan membahas tentang kasus tersebut karena bukan bidang saya. Yang jadi perhatian saya adalah apakah memang bisa terjadi hal tersebut pada Whatsapp seseorang? berarti whatsapp kita juga bisa diretas. Bukankah Whatsapp punya keamanan yang cukup kuat?

Ada dua hal yang bisa diserang pada aplikasi chatting seperti Whatsapp. Yaitu penyadapan pesan dan penyadapan akun untuk dipakai mengirim pesan palsu ke orang-orang. Yang terjadi pada Ravio ini kemungkinan adalah yang kedua. Penyadapan pesan cukup sulit dilakukan jika melalui jaringan karena Whatsapp dienkripsi secara End to End yang artinya, bahkan server sendiri pun tidak bisa membaca isi pesannya. Pemerintahan di banyak negara (bukan hanya Indonesia) pernah meminta Facebook untuk membuat backdoor agar bisa men-dekripsi pesan itu. Namun sampai detik ini belum dilakukan, karena akan ada lebih banyak resiko ketimbang keuntungan yang didapat. Celah yang ada tinggal lah perangkat si pengguna.

Target keamanan yang kedua adalah akun. Perlu kita sadari bahwa hampir semua platform saat ini terhubung ke nomor ponsel pribadi. Bukan hanya Whatsapp, aplikasi yang lain pun sama. Sering kali meminta verifikasi melalui ponsel. Bagaimana kalau nomor kita yang disadap? atau nomor tersebut diduplikat oleh orang? atau nomor tersebut tidak sengaja diproduksi ulang? Bisa saja terjadi. Sementara Whatsapp bergantung pada nomor ponsel dan betapa mudahnya mengaktifkan ulang akun hanya dengan kartu SIM ponsel. Kecuali kita menggunakan 2FA, mungkin hal seperti ini bisa di minimalisir.

Saya sendiri sebisa mungkin selalu menggunakan Two-Factor Authentication (2FA) di berbagai platform jika ada fitur tersebut. Termasuk Whatsapp. Pada Whatsapp, disediakan fitur 2FA untuk memasukan PIN jika kartu didaftarkan ulang pada ponsel lain. Hal ini untuk mencegah nomor yang sama (padahal bukan milik kita) masuk ke akun Whatsapp kita.

Untuk mengaktifkan fungsi 2FA, klik di ikon titik tiga di pojok kanan atas > Setelan > Akun > Verifikasi Dua Langkah dan tinggal ikuti saja langkah-langkahnya. [note] Saya menggunakan versi 2.20.89

Sebenarnya ada lagi celah keamanan di Whatsapp yaitu memanfaatkan login session di Whatsapp web atau desktop, jika session key nya bisa dicuri maka peretas bisa melakukan apa saja pada Whatsapp kita. Sebaiknya selalu monitor perangkat yang login di Whatsapp Web, logout dari perangkat jika sudah tidak diperlukan. Mungkin ada juga celah yang saya belum tahu. Tapi setidaknya langkah-langkah di atas membantu meminimalisir peretasan.