Ada cerita yang masih membuat saya melongo setiap kali saya memikirkannya. Seorang anak berusia 17 tahun dari Tampa. Tanpa sindikat peretasan. Tanpa kru Rusia elit. Cuma remaja yang sedang kehabisan uang dengan ponsel, laptop, dan keberanian untuk melakukan salah satu peretasan rekayasa sosial paling gila yang pernah tercatat. Ini kisah nyata Graham Ivan Clark — dan bagaimana dia pada dasarnya meretas sifat dasar manusia itu sendiri.

15 Juli 2020. Saya ingat menonton semua itu terjadi secara langsung. Akun Elon Musk. Obama. Bezos. Apple. Bahkan Biden. Semuanya memposting hal yang sama persis: Kirim saya $1.000 dalam Bitcoin dan saya akan mengirimi Anda $2.000 kembali. Awalnya, semua orang mengira ini semacam lelucon yang dibuat-buat. Tapi tidak. Tweet-nya tayang langsung. Twitter benar-benar sudah dikompromikan. Seseorang punya akses god-mode ke suara-suara paling kuat di platform itu.

Dalam beberapa menit, lebih dari $1 juta Bitcoin masuk ke dompet yang dikendalikan oleh pelaku. Dalam beberapa jam, Twitter mengunci semua akun terverifikasi di seluruh dunia — sesuatu yang secara harfiah belum pernah terjadi sebelumnya. Dan dalang di balik semuanya? Bukan sosok bayangan di ruang bawah tanah. Cuma Graham Ivan Clark. Seorang remaja.

Di sinilah ceritanya jadi lebih gelap. Graham tidak tumbuh di pusat teknologi. Tampa, Florida. Rumah yang berantakan. Tidak ada uang. Sementara anak-anak lain cuma bermain game, dia sudah menjalankan penipuan di dalam Minecraft — berteman dengan orang, menjual barang palsu pada mereka, mengambil uang mereka, lalu menghilang begitu saja. Ketika para YouTuber mencoba membongkarnya, dia meretas kanal mereka untuk balas dendam. Di saat itulah saya sadar ini bukan sekadar soal uang baginya. Ini soal kendali. Penipuan menjadi bahasa ibunya.

Pada usia 15, dia sudah sangat dalam di OGUsers — forum hacker terkenal tempat orang menukar akun media sosial yang dicuri. Tapi ini yang penting: Graham Ivan Clark tidak perlu menjadi penyihir kode. Dia adalah seorang rekayasa sosial. Psikologi murni. Dia akan menggunakan pesona, tekanan, manipulasi — apa pun yang berhasil.

Lalu dia menemukan SIM swapping. Pada usia 16, dia menguasainya. Pada dasarnya, dia akan meyakinkan karyawan perusahaan telepon untuk memindahkan kendali atas nomor telepon orang tersebut ke dirinya. Satu trik. Itu saja yang dibutuhkan untuk mengakses email seseorang, dompet crypto, rekening bank — semuanya. Dia tidak lagi mencuri nama pengguna. Dia mencuri kehidupan.

Salah satu korbannya adalah seorang venture capitalist bernama Greg Bennett. Bangun suatu pagi dan mendapati lebih dari $4 juta Bitcoin lenyap. Ketika dia mencoba menghubungi para penyerang, mereka mengiriminya pesan: Bayar atau kami akan mendatangi keluargamu. Ini level kekejaman yang kita bicarakan.

Tapi uang membuat Graham Ivan Clark menjadi ceroboh. Dia mulai menipu rekan-rekan hacker-nya sendiri. Mereka membongkar identitasnya. Muncul di rumahnya. Kehidupan offline-nya makin berantakan — transaksi narkoba, koneksi geng, kekacauan. Satu transaksi berjalan salah. Temannya ditembak mati. Dia mengklaim dirinya tidak bersalah dan entah bagaimana bisa bebas lagi.

2019. Penggerebekan polisi di apartemennya. Mereka menemukan 400 Bitcoin — hampir $1 juta. Dia bernegosiasi. Mengembalikan juta agar "menutup kasus". Dia berusia 17. Karena dia masih di bawah umur, dia menyimpan sisanya. Secara hukum. Dia pernah mengalahkan sistem sekali. Dia belum selesai.

Menjelang 2020, Graham Ivan Clark punya satu tujuan terakhir sebelum menginjak 18: meretas Twitter itu sendiri. Lockdown COVID berarti karyawan Twitter bekerja dari rumah. Login jarak jauh. Perangkat pribadi. Dia dan seorang remaja kaki tangan lainnya menyamar sebagai dukungan teknis internal. Menelepon karyawan, memberi tahu bahwa mereka perlu mereset kredensial login, lalu mengirimkan halaman login perusahaan palsu. Puluhan orang tertipu.

Langkah demi langkah, mereka menaiki hierarki internal Twitter sampai mereka menemukannya — akun "God mode". Satu panel yang bisa mereset kata sandi apa pun di seluruh platform. Dua remaja tiba-tiba menguasai 130 dari akun-akun paling kuat di dunia.

Pada pukul 8 malam, 15 Juli, cuitan-cuitan itu dikirim. Internet pun senyap. Akun terverifikasi terkunci. Para selebritas panik. Para peretas seharusnya bisa menghancurkan pasar, membocorkan pesan pribadi, menyebarkan peringatan perang palsu, mencuri miliaran. Tapi yang mereka lakukan justru menambang Bitcoin. Ini sudah bukan lagi soal uang. Ini soal membuktikan mereka bisa mengendalikan pengeras suara terbesar di internet.

FBI melacaknya dalam dua minggu. Log IP. Pesan Discord. Data SIM. Graham Ivan Clark menghadapi 30 dakwaan kejahatan berat — pencurian identitas, penipuan kawat, akses komputer tanpa otorisasi. Hingga 210 tahun penjara. Tapi dia membuat kesepakatan. Karena dia masih di bawah umur, dia menjalani hanya 3 tahun di penahanan remaja dan 3 tahun masa percobaan. Meretas dunia saat berusia 17. Bebas saat 20.

Hari ini, dia sudah bebas. Bebas. Kaya. Dan inilah ironi yang terus membuat saya tidak bisa tidur: Twitter sekarang menjadi X, dipenuhi penipuan crypto setiap hari. Penipuan yang sama yang membuat Graham kaya. Trik yang sama yang memperdaya seluruh dunia. Kerentanan psikologis yang sama yang masih bekerja pada jutaan orang.

Pelajaran nyatanya apa? Para penipu seperti Graham Ivan Clark tidak meretas sistem — mereka meretas manusia. Mereka mengeksploitasi emosi. Ketakutan. Keserakahan. Kepercayaan. Itulah kerentanan yang benar-benar penting. Jangan pernah percaya pada urgensi. Jangan pernah membagikan kredensial. Jangan menganggap akun terverifikasi aman. Selalu periksa URL sebelum login. Rekayasa sosial itu bukan soal teknis — melainkan psikologis.

Graham Ivan Clark membuktikan sesuatu yang kejam: Anda tidak perlu merusak sistem kalau Anda bisa menipu orang-orang yang menjalankannya. Itulah peretasan yang masih bergema sampai sekarang.