Kasus lumpuhnya operasional akibat penangguhan akun Google Workspace

 (zencapital.substack.com)
1 poin oleh GN⁺ 2026-04-06 | 1 komentar | Bagikan ke WhatsApp
  • Insiden ketika akun Google Workspace ditangguhkan karena dicurigai diretas sehingga akses ke email dan layanan terblokir, dan pemulihan tetap tertunda meskipun kepemilikan domain sudah dibuktikan melalui verifikasi DNS
  • Satu akun administrator berfungsi sebagai pusat autentikasi untuk semua sistem kerja seperti email, Drive, Calendar, payroll, CRM, dan lainnya, sehingga begitu ditangguhkan seluruh perusahaan langsung kehilangan akses
  • Setelah nomor telepon pemulihan dihapus saat login dari luar negeri, muncul peringatan keamanan yang keliru dan berujung pada situasi tidak bisa login di mana bahkan kode cadangan dan passkey pun tidak berguna
  • Pemulihan tertunda akibat prosedur tunggu 30 hari dan kekacauan tiket yang berulang dari tim dukungan Google, dan bahkan lewat komunitas serta SNS jawabannya hanya “tunggu saja”
  • Setelah operasional terhenti lebih dari 40 jam, pemulihan akhirnya berhasil berkat intervensi karyawan Google, yang menunjukkan bahwa ketergantungan pada satu akun saja merupakan risiko fatal bagi kesinambungan bisnis

Kasus lumpuhnya operasional akibat penangguhan akun Google Workspace

  • Kasus akses email terblokir saat akun Google Workspace ditangguhkan karena “dicurigai diretas”

    • Sebenarnya yang login adalah pemilik akun sendiri saat sedang perjalanan dinas ke luar negeri, tetapi Google salah mengiranya sebagai pembajakan akun
    • Meskipun kepemilikan domain telah dibuktikan lewat verifikasi DNS, seluruh pengiriman dan penerimaan email tetap terhenti

  • Satu akun administrator berfungsi sebagai pusat autentikasi untuk semua layanan

    • Email, Drive, Calendar, sistem payroll, CRM (Pipedrive), aplikasi manajemen tugas, dan sistem internal semuanya bergantung pada Google OAuth
    • Begitu akun ditangguhkan, akses ke semua layanan langsung terputus dan menyebabkan penghentian operasional di seluruh perusahaan

  • Kronologi terjadinya masalah

    • Sekitar pukul 5 pagi pada 4 April, saat perjalanan dinas ke luar negeri, nomor telepon pemulihan dihapus untuk menghindari autentikasi SMS
    • Segera setelah itu, muncul peringatan keamanan yang keliru bahwa “aplikasi autentikasi telah dihapus”, lalu status berubah menjadi tidak bisa login
    • Kode cadangan, passkey, dan perangkat yang sudah login semuanya tidak berfungsi sebagai sarana autentikasi

  • Upaya pemulihan dan kekacauan dukungan Google

    • Verifikasi lewat record DNS CNAME/TXT sudah selesai, tetapi prosedur email pemulihan mengharuskan menunggu 30 hari
    • Permintaan bantuan diajukan lewat akun Workspace lain, tetapi yang diberikan hanya tautan yang mengharuskan login sehingga proses tidak bisa dilanjutkan
    • Kekacauan berulang terjadi karena tiket diduplikasi, ditutup, lalu dibuka kembali di antara beberapa petugas dukungan
    • Bahkan saat menghubungi lewat forum komunitas dan X.com, jawaban yang terus diulang hanyalah “tunggu saja”
    Iklan

  • Dampak terhadap pekerjaan dan lamanya gangguan

    • Karena pemulihan tertunda lebih dari 40 jam, proses payroll, rapat Google Meet, dan jadwal negosiasi bisnis semuanya terhenti
    • Sebagian pekerjaan digantikan memakai email pribadi, tetapi ada keterbatasan karena pemisahan dengan akun kerja perlu tetap dijaga

  • Pembaruan tambahan

    • Update 1: Record MX bisa diubah ke layanan email lain, tetapi email dan kalender yang sudah ada tidak bisa dipulihkan
    • Update 2: Janji tim dukungan Google tentang “pembaruan dalam 1–2 jam” terus berulang, tetapi penyelesaian tetap tertunda
    • Update 3: Pemulihan login akhirnya berhasil berkat intervensi langsung dari karyawan Google

Pelajaran setelah insiden dan reaksi komunitas

  • Pengguna Hacker News menyoroti bahwa beberapa sinyal bahaya terjadi bersamaan, seperti perubahan negara, penghapusan nomor telepon pemulihan, dan MX yang tidak diubah
  • Penulis menjelaskan bahwa setelah perubahan negara, akun digunakan secara normal selama 6 hari dari IP yang sama, dan penghapusan nomor teleponlah yang menjadi penyebab langsung
  • MX memang bisa diubah ke Fastmail atau Protonmail, tetapi masalah email yang sudah ada, kalender, dan login OAuth membuatnya bukan alternatif yang benar-benar praktis
  • Meskipun sudah memiliki autentikasi dua faktor, passkey, kode cadangan, email pemulihan, dan akses ke perangkat yang sama, pemulihan tetap gagal
  • Kasus ini menunjukkan bahwa ketergantungan berlebihan pada satu akun Google Workspace saja merupakan risiko serius bagi kesinambungan bisnis

Bacaan terkait

1 komentar

 
GN⁺ 2026-04-06
Komentar Hacker News

  • Dulu Google terlihat sebagai ‘big tech yang tidak terlalu jahat’, tetapi pengalaman dukungan pelanggan yang sebenarnya sangat buruk
    Saya membeli Pixel, tetapi tidak menerima langganan Gemini AI Pro 1 tahun yang dijanjikan, dan layanan pelanggan sama sekali tidak membantu
    Teman saya mengalami masalah yang sama, dan saat mengubah paket Google One juga mengalami ketidakpedulian serupa
    Sekarang, kecuali menghabiskan jutaan dolar, saya tidak melihat alasan untuk memilih layanan Google

    • Saya membeli Pixel 6a, tetapi baterainya rusak setelah 400 kali pengisian. Google bilang akan memberi kompensasi 100 dolar, tetapi setelah saya mengirim semua dokumen, uangnya tetap tidak saya terima. Google yang terburuk
    • Sejak dulu Google sama saja dengan big tech lain sebagai ‘perusahaan jahat’. “Don’t be evil” hanyalah slogan PR
      Sekitar tahun 2008, ketika saya menghubungi mereka soal bug Blogspot, saya diabaikan oleh relawan ‘diamond’. Tidak ada cara untuk mengakses tim dukungan yang sebenarnya
    • Saya penasaran apakah kasus seperti ini bisa diselesaikan lewat pengadilan gugatan kecil (small claims court). Saya ingin tahu apakah ini cara yang realistis bagi konsumen untuk menanggapi pelanggaran kontrak
    • Akun Adsense saya diblokir selama 13 tahun, lalu dipulihkan tanpa saya pernah tahu alasannya. Mungkin pesaing mengirim klik palsu
    • Google sudah melanggar janji untuk tidak menggunakan data pengguna untuk iklan sejak 10 tahun lalu
      Menurut artikel Google’s broken privacy promise, mereka menghapus klausul yang menyatakan bahwa informasi dari layanan seperti Gmail tidak akan digabungkan dengan data iklan

  • Muncul lagi artikel tentang “penyedia cloud memblokir akun dan membuat semuanya hilang”
    Bukan cuma Google, siapa pun yang bergantung pada layanan cloud seperti Amazon, Microsoft, atau Apple harus menyiapkan rencana menghadapi penangguhan akun
    Jika Anda menitipkan data penting, backup atau sarana alternatif itu wajib

    • Dulu ada yang bilang, “jangan terlalu terikat pada layanan cloud yang tidak bisa kamu tinggalkan dalam 30 detik” — kutipan Robert De Niro
    • Perusahaan kami menggunakan Cubebackup untuk backup Google Workspace
      Ternyata jauh lebih sulit dari dugaan untuk memiliki ‘external backup’ yang bisa dipulihkan di luar layanan SaaS, tetapi itu sangat penting
    • Peringatan seperti ini adalah salah satu hal yang paling sering muncul di HN. Hanya kalah sering dari “kalau tidak pakai Claude Code, kamu akan tertinggal”
    • Google jadi masalah khusus karena orang awam yang tidak paham teknologi bisa kehilangan satu-satunya akun email mereka dan sama sekali tidak tahu cara memulihkannya
    • Situasi seperti ini rasanya seperti “diusir dari gedung sewaan lalu barang-barangmu ikut dibuang”. Pada akhirnya hukumnya harus diubah

  • Fitur “Login with Google/Apple/Facebook” sebaiknya dihindari kalau memungkinkan
    Karena itu menciptakan satu titik kegagalan. Kalau bisa, lebih aman memakai sistem login sendiri
    Sebagai mantan Googler, saya hanya memakai Gmail saat masih punya akses internal, dan setelah keluar saya juga meninggalkan Gmail

    • Saya pernah melihat artikel bahwa sistem eIDAS Jerman meminta akun Google atau Apple. Ini berarti autentikasi negara menjadi bergantung pada big tech
    • Aplikasi kami juga menyediakan login Google/Facebook, tetapi kedua perusahaan itu memblokir login otomatis seperti Selenium sehingga pengujian E2E tidak mungkin dilakukan
    • Tailscale terasa aneh karena sepertinya satu-satunya perusahaan yang hanya menyediakan login pihak ketiga. Ada yang tahu alasannya?
    • Sebagai gantinya, Tailscale menyediakan SSO kustom secara gratis

  • Saya adalah administrator sistem sukarelawan untuk forum Buildhub
    Selama 10 tahun forum itu ada di peringkat atas pencarian Google, tetapi pada 28 Desember 2025 tiba-tiba hilang dari indeks
    Forum Google kosong melompong dan tidak ada orang yang bisa dihubungi. Sebagai pengguna berbayar Workspace, saya serius mempertimbangkan rencana cadangan

    • Di forum Google, Microsoft, dan Apple ada banyak orang yang membangun portofolio dengan jawaban tak bermakna
      Sebagian tampaknya sedang mengakali sistem demi peluang diundang ke Google HQ

  • Saya adalah pengguna awal Google Glass pada 2013. Saya bahkan mendapat pelatihan langsung di HQ New York, dan ada nomor dukungan khusus yang aktif 24 jam
    Saya menghancurkan perangkat itu dua kali dan keduanya diganti gratis. Dulu dukungan pelanggan seperti ini memang ada

    • Saat itu, pada dasarnya kami adalah tenaga pengujian sukarela. Begitu produk dipindahkan ke tim lain, minat mereka pun hilang
    • Jika membandingkan 8.000 pengguna awal Glass dengan ratusan juta pengguna Workspace, perbedaan kualitas dukungan itu wajar
    • Kebijakan penggantian tanpa batas waktu itu hanyalah biaya R&D, bukan amal
    • Dulu saat menelepon nomor dukungan Google Wifi, saya langsung tersambung, tetapi sekarang hanya mendengar pemberitahuan “dukungan telah berakhir”
    • Saat pengembalian dana Stadia, saya secara luar biasa menerima refund penuh untuk semua pembayaran.
      Kualitas dukungan pelanggan Google memang sangat berbeda-beda antar divisi produk. Workspace termasuk yang paling buruk

  • Situasi seperti ini sudah setara dengan ilegal. Semakin banyak bagian hidup yang dikuasai perusahaan raksasa, orang biasa makin tidak berdaya
    Jika mereka menyediakan layanan esensial, maka mereka harus memikul tanggung jawab yang sepadan

    • Layanan cloud yang dipakai lebih dari 1% populasi harus diwajibkan memiliki pusat layanan pelanggan offline di setiap kota
      Seperti operator telekomunikasi, setiap gerai harus punya staf, dan Google sepenuhnya mampu melakukannya
    • Diperlukan saluran pengaduan big tech di tingkat pemerintah
    • “Exerting power” jadi “Excreting power”; salah ungkapan, tetapi lucu juga dibayangkan

  • Saya pernah melalui proses pemulihan akun admin, dan kebijakan keamanannya saling bertentangan
    Meski akun dibuka secara manual, sistem tetap meminta verifikasi SMS ke nomor yang sudah dihapus
    Bahkan setelah menambahkan kunci keamanan atau TOTP, SMS tetap wajib. Kalau nomor itu dibajak, semuanya selesai

    • Akun Gmail saya juga pernah dipaksa mengaktifkan 2FA tanpa pemberitahuan.
      Meski saya punya ID, kata sandi, dan email pemulihan, saya tetap tidak bisa login karena diminta verifikasi SMS ke nomor yang tidak saya miliki
      Meta setidaknya punya orang yang bisa membantu jika Anda membayar, tetapi Google sama sekali tidak punya

  • Jika memakai Google Workspace tanpa tim operasional tingkat enterprise, satu akun admin bisa menjadi titik kegagalan tunggal
    Saya pernah terjebak dalam loop autentikasi hingga semua cara tertutup, dan baru berhasil menyelesaikannya setelah beberapa kali mengancam tindakan hukum sampai akhirnya bisa bicara dengan manusia

  • Bisa jadi penulis aslinya memang diretas. Mungkin pelaku mengambil perangkat OTP atau akses DNS, tetapi tidak berhasil mengambil nomor telepon
    Dalam situasi seperti ini tidak ada cara untuk membuktikan bahwa Anda adalah pemiliknya. Akan bagus kalau ada kantor fisik tempat Anda bisa datang langsung sambil membawa paspor untuk verifikasi

    • Akan bagus jika ada opsi untuk mendaftarkan identitas pemerintah secara opsional
      Model verifikasi identitas di kantor pos seperti milik login.gov di AS terdengar menarik
      Namun secara komersial hal seperti itu sulit diterapkan, dan ada resistensi besar terhadap tren mewajibkan verifikasi identitas online
    • Jika pengguna ini memang benar-benar diretas, pemulihan akun Gmail tidak mungkin dilakukan
      Google akan memblokir akun alih-alih menilai siapa yang benar

  • Sulit dipercaya, tetapi Microsoft (Office365) benar-benar punya tim dukungan yang bisa dihubungi lewat telepon
    UI-nya memang buruk, tetapi pada akhirnya masalahnya terselesaikan

    • Ada juga artikel yang menyebut Azure sangat kacau dalam otomasi sehingga ribuan pekerja kontrak memperbaiki masalah secara manual
      Namun justru karena itu ada banyak orang yang benar-benar bisa menyelesaikan masalah
      Artikel terkait: diskusi HN