Perang zaman now itu nggak cuma soal rudal yang meledak di tanah, tapi juga notifikasi yang meledak di saku celana. Bayangin skenarionya: kalian lagi tenang nunggu waktu Zuhur, HP getar, ekspektasinya notif azan dari aplikasi favorit. Pas layar nyala, bukannya pengingat sholat, yang muncul malah pesan dari militer negara musuh yang menyuruh tentara kalian menyerah.
Ini bukan plot film Black Mirror. Ini kejadian nyata yang baru aja menimpa jutaan warga Iran Sabtu kemarin.
Sebuah threat actor yang diduga kuat berafiliasi dengan Israel berhasil melakukan hijacking masif terhadap infrastruktur notifikasi aplikasi BadeSaba, aplikasi kalender dan waktu sholat paling populer di Iran. Yang bikin insiden ini layak masuk buku sejarah cyber warfare adalah eksekusinya yang sinkron sempurna dengan serangan fisik (kinetik) di dunia nyata.
Buat kita yang tiap hari ngulik celah keamanan, ini adalah nightmare scenario di mana ranah digital dan fisik bertabrakan dengan cara yang mengerikan.
BadeSaba: Target yang “High Value”
Kenapa aplikasi azan? Jawabannya simpel: User base. Di dunia intelligence gathering, data adalah raja, dan BadeSaba adalah tambang emasnya.
Skala Dampak Serangan
Aplikasi ini bukan sekadar pengingat waktu sholat. Dengan lebih dari 5 juta unduhan di Google Play saja (dan puluhan juta via toko aplikasi lokal), BadeSaba punya akses permission yang sensitif: lokasi presisi.
Bagi seorang penyerang, menguasai aplikasi ini berarti memegang peta persebaran jutaan warga secara real-time. Lebih spesifik lagi, seperti yang dibilang researcher Hamid Kashfi dari DarkCell, pengguna aplikasi religius kayak gini punya probabilitas tinggi sebagai bagian dari demografi militer atau pendukung garis keras rezim. Jadi, targetnya bukan random, tapi sangat terkurasi.
Kronologi: Sinkronisasi yang Presisi
Yang bikin saya merinding—dan sekaligus kagum dari sisi teknis—adalah timing-nya. Serangan siber ini bukan prank iseng, tapi bagian dari operasi militer gabungan “Epic Fury”.
Serangan dimulai hari Sabtu, 28 Februari 2026. Di waktu Indonesia (WIB), ini terjadi sekitar pukul 13:22 siang. Saat rudal mulai menghantam fasilitas IRGC (Islamic Revolutionary Guard Corps), notifikasi propaganda mulai masuk ke HP warga.
Timeline Operasi BadeSaba
Infiltrasi Awal
Peretasan stasiun TV dan satelit Iran dilaporkan terjadi.
Payload Dieksekusi
Notifikasi 'Help Has Arrived' dikirim bersamaan dengan serangan udara.
Perintah Defeksi
Pesan kedua mendesak militer Iran meletakkan senjata.
Blackout
Trafik internet Iran drop ke 4% dari level normal.
Pesan yang dikirim bukan spam biasa. Judulnya “Help Has Arrived” (Bantuan Telah Tiba), diikuti ancaman: “It’s time for reckoning” (Saatnya perhitungan). Mereka juga mengirim instruksi spesifik buat aparat keamanan Iran untuk membelot kalau mau selamat.
Ini teknik PsyOps (Psychological Operations) level dewa. Dulu tentara nyebar pamflet dari pesawat, sekarang mereka nyebar push notification langsung ke tangan targetnya. Efek psikologisnya jauh lebih kena karena notifikasi itu sifatnya personal dan “terpercaya”.
Bedah Teknis: Kok Bisa Kebobolan?
Melihat pola serangannya, skenario ini kemungkinan besar bukan eksploitasi celah zero-day pada kode aplikasinya, melainkan Supply Chain Compromise atau pencurian kredensial level admin.
Untuk mengirim notifikasi ke 37 juta user sekaligus, penyerang butuh akses ke Push Notification Service (seperti FCM atau APNs) yang dipakai BadeSaba. Skenario yang paling masuk akal:
- Credential Dumping: Admin atau developer BadeSaba kena phishing atau infostealer malware.
- API Key Leak: Kunci API server notifikasi terekspos di repo publik atau konfigurasi server yang bolong.
- Infrastructure Takeover: Penyerang sudah ada di dalam jaringan developer (ATP - Advanced Persistent Threat) berbulan-bulan sebelumnya.
Lukasz Olejnik, konsultan keamanan independen, menyoroti poin penting: Trust model notifikasi itu rapuh. Kita menganggap kalau kita instal aplikasi, pesan yang masuk itu sah. Padahal, kalau jalur pipanya (pipeline) dibajak, HP kita jadi megafon musuh.
Pelajaran OpSec
Aplikasi dengan jutaan user adalah target strategis. Kalau developer lalai mengamankan API Secret Key atau akses panel admin, dampaknya bukan cuma data bocor, tapi bisa jadi alat propaganda negara lain.
Kondisi makin parah karena tak lama setelah notifikasi tersebar, internet di Iran langsung “ditarik kabelnya”. NetBlocks mencatat konektivitas anjlok hingga sisa 4%. Ini taktik standar untuk mencegah penyebaran informasi (atau kepanikan) lebih lanjut, tapi di sisi lain juga bikin warga buta informasi di tengah serangan udara.
Relevansinya Buat Kita di Indonesia
“Ah, itu kan di Timur Tengah, jauh bro.”
Jangan salah. Indonesia itu surganya super-app dan aplikasi utilitas keagamaan. Kita punya aplikasi azan, aplikasi ojol, sampai marketplace yang usernya puluhan hingga ratusan juta. Bayangin kalau salah satu unicorn kita infrastruktur notifikasinya diambil alih aktor jahat—entah itu negara asing, sindikat judi online, atau kelompok radikal.
Tiba-tiba notifikasi promo gopud berubah jadi hasutan kerusuhan atau link phishing massal.
Kasus BadeSaba ini adalah tamparan keras buat developer lokal. Keamanan backend dan credential management itu bukan fitur opsional, tapi fondasi kedaulatan digital. Kalau aplikasi sesehari-hari bisa disetir buat senjata perang psikologis, berarti attack surface kita jauh lebih luas dari yang kita bayangkan.
Jangan sampai kita baru sadar pentingnya keamanan siber pas HP kita sendiri yang mulai “mengkhianati” tuannya.
Profil Target: BadeSaba
Platform | Android & iOS |
Fungsi Utama | Jadwal Sholat, Kompas Kiblat |
Developer | Mobiliha / Ali Tehranchi |
Izin Sensitif | Precise Location, Notification |