Baru saja melihat lubang kelinci ini di Twitter dan tidak bisa berhenti membaca — kisah Graham Ivan Clark mungkin salah satu narasi peretas paling gila yang pernah ada. Bukan karena zero-day yang mewah atau malware canggih, tetapi karena remaja miskin dari Tampa benar-benar... meyakinkan orang untuk memberinya akses ke akun paling kuat di internet.

Biarkan saya uraikan bagaimana ini sebenarnya terjadi, karena psikologinya di sini sangat liar.

15 Juli 2020. Twitter ambruk. Elon Musk, Obama, Bezos, Apple, Biden — semuanya memposting hal yang sama: "Kirim saya $1.000 dalam BTC dan saya akan mengirim kembali $2.000." Kebanyakan orang mengira itu lelucon. Tapi itu tidak. Dalam beberapa jam, lebih dari $110.000 dalam Bitcoin masuk ke dompet penyerang. Twitter secara harfiah menutup semua akun terverifikasi secara global untuk pertama kalinya. Dan orang di baliknya? Bukan sindikat peretasan elit Rusia. Hanya remaja 17 tahun dengan ponsel dan sama sekali tidak takut.

Ternyata Graham Ivan Clark tidak perlu menjadi jenius coding. Dia adalah sesuatu yang lebih berbahaya — seorang insinyur sosial.

Latar belakang Graham suram. Rumah broken di Florida, tidak punya uang, tidak punya prospek. Sementara kebanyakan anak-anak hanya bermain game, dia sudah menjalankan penipuan di dalamnya — berteman dengan orang, menjual item palsu dalam game, ghosting setelah pembayaran. Ketika dia tertangkap, dia cukup membajak saluran para penuduh dan menghapus bukti. Pada usia 15 tahun, dia sudah bergabung dengan OGUsers, forum dark web terkenal ini di mana orang bertukar kredensial media sosial yang dicuri. Tidak perlu coding. Hanya persuasi, tekanan, dan pemahaman tentang psikologi manusia.

Pada usia 16, dia naik level ke SIM swapping. Pada dasarnya, dia akan menelepon karyawan perusahaan telepon, meyakinkan mereka bahwa dia adalah pemilik akun, dan membuat mereka mengalihkan nomor telepon orang lain ke perangkatnya. Kedengarannya sederhana, kan? Tapi trik itu memberinya akses ke email, dompet crypto, rekening bank. Dia bukan lagi mencuri username — dia mencuri seluruh kehidupan. Seorang kapitalis ventura, Greg Bennett, bangun dan menemukan lebih dari $1 juta dalam Bitcoin hilang. Penyerang bahkan mengancam keluarganya.

Uang itu membuat Graham Ivan Clark menjadi ceroboh. Dia mulai menipu mitra hacker-nya sendiri. Mereka membongkar identitasnya. Menemui dia di rumahnya. Kehidupan offline-nya berputar ke dalam koneksi geng, transaksi narkoba. Seseorang tertembak. Dia melarikan diri, mengaku tidak bersalah, entah bagaimana berjalan bebas lagi. Ketika polisi akhirnya menggeledah apartemennya pada 2019, mereka menemukan 400 BTC — hampir $4 juta. Dia menegosiasikan jalan keluar dengan mengembalikan $1 juta. Karena dia masih di bawah umur, dia menyimpan sisanya. Secara hukum. Dia telah mengalahkan sistem.

Tapi dia tidak berhenti.

Pada 2020, Graham Ivan Clark memiliki satu target terakhir sebelum berusia 18: Twitter sendiri. Lockdown COVID berarti karyawan bekerja dari rumah, masuk dari perangkat pribadi, rentan. Dia dan seorang remaja rekan hanya... menelepon staf Twitter berpura-pura sebagai dukungan teknis internal. Memberitahu mereka bahwa mereka perlu mengatur ulang kredensial. Mengirim halaman login palsu. Puluhan karyawan jatuh ke dalamnya. Langkah demi langkah, mereka naik ke hierarki internal sampai menemukan akun "Mode Tuhan" — panel yang bisa mengatur ulang password apa pun di platform.

Dua remaja. 130 akun paling kuat di dunia. Kendali penuh.

Tweet-tweet itu keluar pukul 8 malam. Kekacauan langsung terjadi. Tapi inilah intinya — mereka bisa saja merusak pasar, membocorkan DM pribadi, memicu peringatan perang palsu, mencuri miliaran. Sebaliknya, mereka hanya menjalankan scam Bitcoin dasar. Itu sebenarnya tidak pernah tentang uang. Itu tentang membuktikan bahwa mereka bisa mengendalikan megafon internet kapan saja mereka mau.

FBI menangkap mereka dalam dua minggu menggunakan log IP dan pesan Discord. Graham Ivan Clark menghadapi 30 tuduhan pidana dan hingga 210 tahun penjara. Tapi karena dia masih di bawah umur, dia hanya menjalani 3 tahun di penahanan remaja dan dibebaskan saat berusia 20 tahun.

Dia sekarang bebas. Kaya. Dan mungkin tertawa melihat trik psikologis yang membuatnya kaya masih terus membanjiri ruang crypto setiap hari.

Pelajaran sebenarnya di sini bukanlah teknis — melainkan psikologis. Insinyur sosial masih bekerja karena orang bisa diprediksi. Ketakutan, keserakahan, kepercayaan, urgensi — ini adalah kerentanan nyata. Graham Ivan Clark membuktikan bahwa kamu tidak perlu merusak sistem jika kamu bisa menipu orang yang menjalankannya. Itulah hack yang benar-benar penting.