Kamu tahu apa yang gila? Peretasan terbesar di Twitter tidak berasal dari unit perang siber Rusia atau sindikat peretasan elit. Itu berasal dari remaja miskin di Florida yang hanya punya laptop dan keberanian untuk benar-benar melakukannya. Saya berbicara tentang Graham Ivan Clark — dan ceritanya jujur saja salah satu kasus rekayasa sosial paling menarik yang pernah saya baca.

Jadi begini yang membuat saya terkejut: pada 15 Juli 2020, seluruh internet tiba-tiba membeku. Akun terverifikasi di mana-mana — Elon Musk, Obama, Bezos, Apple, Biden — semuanya memposting pesan yang sama persis meminta orang mengirim Bitcoin. Awalnya semua orang mengira itu meme yang rumit. Tapi tidak. Ini bukan tangkapan layar atau akun palsu. Tweet-tweet itu nyata. Langsung. Dan seorang remaja entah bagaimana mengendalikan suara paling berpengaruh di Twitter.

Dalam hitungan menit, lebih dari $110.000 dalam Bitcoin mulai mengalir ke dompet. Dalam beberapa jam, Twitter melakukan sesuatu yang belum pernah dilakukan sebelumnya — mereka mengunci semua akun terverifikasi secara global. Dan orang di balik semuanya? Hanya anak berusia 17 tahun dengan ponsel burner.

Yang lebih gila lagi adalah bagaimana Graham Ivan Clark bisa sampai di sana. Tumbuh di Tampa dengan hampir tidak punya apa-apa, dia mulai dari kecil — menjalankan penipuan Minecraft, membobol saluran YouTube untuk balas dendam, memperdagangkan akun media sosial curian di forum bawah tanah. Tapi dia tidak perlu keahlian coding. Dia memahami sesuatu yang jauh lebih kuat: psikologi manusia. Pada usia 15 tahun, dia sudah mendalami OGUsers, mempelajari seni gelap rekayasa sosial.

Lalu dia menemukan SIM swapping. Di sinilah semuanya menjadi lebih gelap. Dia meyakinkan karyawan perusahaan telepon untuk mentransfer kendali nomor orang ke dia. Tiba-tiba dia punya akses ke email mereka, dompet crypto, rekening bank — semuanya. Seorang kapitalis ventura bangun dan mendapati lebih dari satu juta Bitcoin hilang. Ketika dia menghubungi pencuri itu, mereka membalas pesan: bayar atau kami akan datang ke keluarga kamu.

Uang itu membuatnya sembrono. Dia menipu mitra-mitranya sendiri. Mereka datang ke rumahnya. Kehidupan offline-nya mulai berantakan — narkoba, hubungan geng, kekacauan. Seorang teman ditembak mati dalam sebuah kesepakatan yang gagal. Pada 2019, polisi menyerbu tempatnya dan menemukan 400 Bitcoin. Dia mengembalikan satu juta untuk menghilangkannya. Dia 17 tahun. Karena dia masih di bawah umur, secara hukum dia menyimpan sisanya.

Tapi Graham Ivan Clark tidak puas. Dia menginginkan satu skor terakhir sebelum berusia 18 tahun. Dia menginginkan Twitter sendiri.

Selama lockdown COVID, karyawan Twitter bekerja dari rumah, masuk dari perangkat pribadi. Graham dan remaja lain berpura-pura sebagai dukungan TI internal. Mereka menelepon karyawan, mengirim halaman login palsu perusahaan, dan melihat mereka jatuh ke dalamnya. Langkah demi langkah mereka masuk ke sistem Twitter sampai mereka menemukan apa yang mereka sebut akun mode Tuhan — satu panel yang bisa mengatur ulang password apa saja di platform. Dua remaja tiba-tiba mengendalikan 130 akun paling berpengaruh di dunia.

FBI menangkapnya dalam dua minggu menggunakan log IP, pesan Discord, dan data SIM. Dia menghadapi 30 tuduhan pidana dan hingga 210 tahun penjara. Tapi begini — karena dia masih di bawah umur, dia hanya menjalani tiga tahun di penjara anak-anak. Dia 17 tahun saat meretas Twitter. Dia 20 tahun saat keluar bebas.

Dan sekarang? Graham Ivan Clark ada di luar sana. Bebas. Kaya. Tidak tersentuh. Sementara itu, X — yang menjadi Twitter — dipenuhi dengan penipuan crypto yang sama persis yang membuatnya kaya. Trik rekayasa sosial yang sama. Psikologi yang sama yang masih bekerja pada jutaan orang setiap hari.

Pelajaran sebenarnya di sini bukan tentang meretas kode. Tapi tentang bagaimana penipu meretas manusia. Mereka menggunakan urgensi. Mereka mengeksploitasi kepercayaan. Mereka menyamar sebagai akun terverifikasi. Mereka mengirim kamu ke halaman login palsu. Dan itu berhasil karena ketakutan, keserakahan, dan kepercayaan adalah kerentanan sebenarnya — bukan sistemnya sendiri. Graham Ivan Clark membuktikan bahwa kamu tidak perlu merusak infrastruktur jika kamu bisa menipu manusia yang menjalankannya. Itu adalah peretasan yang sebenarnya.