76 Celah Zero-Day Ditemukan di Pwn2Own 2026 — Hacker Kuasai Charger Listrik dan Jalankan Game DOOM di Dalamnya, Ini Buktinya

Bayangkan kamu sedang mengisi daya mobilmu di stasiun pengisian umum, seperti biasa, seperti yang kamu lakukan puluhan kali sebelumnya. Tidak ada yang terasa aneh. Tapi diam-diam, seseorang di sudut parkiran itu sudah menguasai perangkat charger yang terhubung ke mobilmu dan melalui celah yang sama, mereka punya akses ke jaringan listrik yang jauh lebih besar. Ini bukan skenario film. Ini yang baru saja terbukti terjadi di ajang Pwn2Own Automotive 2026 di Tokyo. Di artikel ini, kamu bakal nemuin apa yang sebenarnya terjadi selama tiga hari paling mengejutkan dalam sejarah keamanan kendaraan, kenapa keamanan mobil listrik bukan sekadar teknis, dan apa risikonya bagi kita semua.

Pwn2Own Tokyo 2026: Tiga Hari yang Mengubah Cara Kita Memandang Mobil Listrik

Pwn2Own Automotive 2026 bukan kompetisi hacking biasa. Ini adalah ajang bergengsi yang diselenggarakan oleh Zero Day Initiative bersama VicOne, di mana para peneliti keamanan terbaik dunia diberi izin resmi untuk mencoba membobol sistem kendaraan dan infrastruktur pendukungnya, dengan syarat semua temuan dilaporkan ke produsen sebelum dipublikasikan. Selama tiga hari penuh di Tokyo, hasilnya jauh melampaui ekspektasi siapapun.

Para peneliti berhasil mengungkap total 76 zero-day ditemukan Pwn2Own 2026 — celah keamanan baru yang sebelumnya tidak diketahui oleh produsen manapun. Total hadiah yang dikucurkan mencapai 1.047.000 dolar AS atau sekitar Rp16,5 miliar sebagai imbalan bagi para hacker etis yang berhasil membuktikan eksploitasi mereka. Angka hadiah sebesar itu bukan sekadar apresiasi, ini adalah refleksi betapa seriusnya industri otomotif mulai memandang keamanan siber kendaraan sebagai domain yang tidak bisa diabaikan lebih lama lagi.

Fokus utama tahun ini adalah dua target yang paling relevan dengan kehidupan sehari-hari pengguna mobil listrik: sistem infotainment atau dashboard kendaraan, dan stasiun pengisian daya atau EV charger. Keduanya berhasil dibobol. Semua berhasil dieksploitasi.

Dari Remote Code Execution Hingga Game DOOM: Apa Saja yang Berhasil Dijebol

Cara paling mengkhawatirkan dari seluruh demonstrasi di Pwn2Own Tokyo 2026 adalah seberapa beragam dan kreatifnya metode yang digunakan. Ini bukan satu celah tunggal yang dieksploitasi, melainkan ini adalah 76 cara berbeda untuk membuktikan bahwa hacking EV charger dan sistem kendaraan modern jauh lebih mudah dari yang selama ini diasumsikan publik.

Tim Fuzzware.io, yang keluar sebagai pemenang utama, berhasil mengeksekusi remote code execution mobil dengan memanfaatkan celah pada validasi kode di stasiun pengisian daya Autel dan Alpitronic. Autel EV charger vulnerability ini memungkinkan mereka memanipulasi sinyal pengisian daya secara ilegal, artinya penyerang bisa mengontrol kapan, berapa besar, dan bagaimana listrik mengalir ke kendaraan yang terhubung. Alpitronic charger dibobol dengan cara serupa, membuktikan bahwa kerentanan ini bukan masalah satu vendor saja.

Beberapa tim lain berhasil melakukan injeksi perintah berbahaya ke dalam exploit ChargePoint Home Flex — charger rumahan yang digunakan jutaan pemilik EV di seluruh dunia — hingga mengambil kendali penuh atas perangkat tersebut. Tim Synacktiv mendemonstrasikan celah keamanan Tesla melalui port USB sistem mereka, memanfaatkan kelemahan out-of-bounds write untuk membocorkan informasi sensitif sistem internal kendaraan.

Tapi demonstrasi yang paling viral dan paling simbolis datang dari tim Juurin Oy. Mereka meretas stasiun pengisian daya Alpitronic charger dibobol hingga layar perangkat itu menampilkan permainan klasik DOOM yang berjalan penuh. Game DOOM di charger listrik ini bukan sekadar lelucon teknis, ini adalah pembuktian kendali penuh atas sistem yang seharusnya hanya melakukan satu hal: mengisi daya kendaraanmu dengan aman.

EV Charger Sebagai Vektor Serangan: Risiko yang Jauh Melampaui Pencurian Listrik

Di sinilah banyak orang salah kaprah tentang vulnerability EV charger. Kebanyakan orang berpikir, "paling jelek ada yang nyuri listrik gratis." Kenyataannya jauh lebih serius dari itu, dan risiko jaringan listrik dari EV charger adalah alasan utama mengapa insiden di Pwn2Own ini relevan bahkan bagi mereka yang belum punya mobil listrik sekalipun.

EV charger sebagai vektor serangan memiliki dua dimensi risiko yang berbeda. Pertama, dari sisi kendaraan: charger yang dikompromi bisa menjadi pintu masuk untuk mengakses sistem internal mobil listrik yang terhubung mulai dari data perjalanan, informasi pengguna, hingga kontrol sistem kritis lainnya. Hacker bobol charger listrik dalam skenario ini bukan hanya merugikan pemilik kendaraan secara individual, tapi berpotensi membuka jalur serangan ke seluruh armada kendaraan yang menggunakan infrastruktur yang sama.

Kedua, dan ini yang lebih mengkhawatirkan: charger yang terkompromi bisa menjadi titik masuk ke jaringan listrik yang lebih luas. Stasiun pengisian publik terhubung ke grid kelistrikan dan eksploitasi yang cukup canggih bisa memanfaatkan koneksi itu untuk mengganggu distribusi daya di skala yang jauh melampaui satu parkiran. Hacker kuasai stasiun pengisian daya dalam konteks ini bukan hanya masalah siber, ini adalah masalah keamanan infrastruktur nasional.

Kenapa Produsen Mobil Tidak Bisa Lagi Berlindung di Balik "Itu Urusan IT"

Keamanan siber harus jadi prioritas produsen mobil — ini bukan slogan aktivis digital, ini kesimpulan logis dari apa yang terjadi di Tokyo. Selama bertahun-tahun, industri otomotif bergerak dengan asumsi bahwa keamanan kendaraan adalah soal fisik: airbag, rem, struktur bodi. Digitalisasi kendaraan modern mulai dari over-the-air update, konektivitas cloud, hingga integrasi dengan infrastruktur pengisian daya telah mengubah mobil menjadi node dalam jaringan digital yang luas.

Celah keamanan mobil listrik yang ditemukan di Pwn2Own bukan hanya soal satu bug di satu komponen. Ini menunjukkan bahwa proses pengembangan perangkat lunak di industri otomotif masih belum memiliki standar keamanan yang setara dengan industri perbankan atau telekomunikasi. Keamanan mobil listrik bukan sekadar teknis, ia menyentuh proses desain, budaya organisasi, dan komitmen jangka panjang terhadap pembaruan keamanan pasca-produksi.

Kabar baiknya: semua 76 celah yang ditemukan di Pwn2Own langsung dilaporkan secara bertanggung jawab kepada produsen masing-masing termasuk Tesla, Alpine, Sony, Autel, dan Alpitronic agar mereka segera merilis patch keamanan. Ini adalah mekanisme yang benar. Tapi mekanisme ini hanya bekerja jika produsen bergerak cepat dan transparan dalam merespons.

Apa yang Harus Dilakukan Pemilik EV dan Industri Sekarang

Bagi pemilik kendaraan listrik, pesan paling praktis dari seluruh rangkaian Pwn2Own Automotive 2026 adalah satu kata: update. Setiap patch yang dirilis produsen kendaraanmu bukan sekadar peningkatan fitur, ia mungkin menutup celah yang sudah diketahui penyerang. Jangan tunda pembaruan sistem, baik untuk kendaraan maupun untuk charger rumahan yang kamu gunakan.

Bagi industri, keamanan siber kendaraan perlu diintegrasikan sejak tahap desain, bukan ditambahkan sebagai lapisan terakhir sebelum produk diluncurkan. Standar minimum keamanan untuk vulnerability EV charger dan sistem infotainment perlu menjadi regulasi, bukan sekadar praktik sukarela. Dan bagi regulator, insiden seperti ini adalah argumen terkuat untuk segera menetapkan kerangka keamanan siber otomotif yang mengikat secara hukum.

Kesimpulan: Mobil Listrikmu Adalah Komputer Beroda — Sudah Waktunya Diperlakukan Seperti Itu

76 celah keamanan yang ditemukan dalam tiga hari di Tokyo adalah cermin yang tidak bisa diabaikan. Mobil listrik modern bukan lagi sekadar kendaraan ia adalah perangkat komputasi kompleks yang terhubung ke internet, terhubung ke infrastruktur, dan terhubung ke data pribadimu. Selama industri dan pengguna belum sepenuhnya menerima realita ini, celah berikutnya akan ditemukan dan tidak selalu oleh peneliti yang bermaksud baik.

Pwn2Own Tokyo 2026 membuktikan bahwa ancaman itu nyata, sudah bisa dieksploitasi, dan sudah ada di depan kita. Pertanyaannya bukan lagi apakah mobil listrikmu bisa diretas. Pertanyaannya adalah: sudah seberapa seriuskah kamu dan produsennya menanggapi kemungkinan itu?