Clubhouse dinilai menjadi contoh terbaru penyalahgunaan akses API akibat antisipasi keamanan yang kurang. Ini insiden ketiga dalam sepekan terakhir setelah Facebook dan Linkedin.
Oleh
SATRIO PANGARSO WISANGGENI
·4 menit baca
JAKARTA, KOMPAS — Platform media sosial berbasis suara, Clubhouse, menjadi korban terbaru panen data atau web scraping. Data publik dari 1,3 juta pengguna Clubhouse dibagikan secara gratis di forum peretas. Meski data bersifat publik, hal semacam ini dapat membantu pelaku kriminal melakukan profiling calon korban.
Pelaku pemanenan data ini terdeteksi mengunggah file basis data ini ke forum peretas pada Sabtu (10/4/2021) pekan lalu. File tersebut berisi 1,3 juta pengguna yang mengandung data nama, URL foto, akun Twitter dan Instagram, jumlah pengikut, jumlah akun yang diikuti, tanggal pembuatan akun, serta nama profil pengundang.
Clubhouse pada Senin (12/4/2021) waktu Indonesia membantah bahwa platform media sosial berbasis audio tersebut mengalami kebocoran data. Chief Executive Officer Clubhouse Paul Davison menyebut bahwa informasi yang ada pada file tersebut adalah informasi yang memang publik.
Clubhouse melalui akun Twitter resminya pun menjelaskan bahwa data tersebut dapat diakses langsung melalui aplikasi ataupun via API atau application programming interface. API adalah semacam keran yang memungkinkan interaksi data antardua atau lebih mesin atau aplikasi.
”Data tersebut adalah informasi publik yang ada pada app kami; di mana semua orang bisa mengaksesnya melalui aplikasi atau API kami,” bunyi keterangan resmi Clubhouse melalui akun @joinClubhouse.
Menurut vice president dari firma keamanan siber WhiteHat Security, Setu Kulkarni, hal ini menandakan bahwa kurang adanya pengamanan terhadap penggunaan akses API.
Data publik dari 1,3 juta pengguna Clubhouse dibagikan secara gratis di forum peretas. Meski data bersifat publik, hal semacam ini dapat membantu pelaku kriminal melakukan profiling calon korban.
Berbicara kepada Threatpost, Kulkani mengatakan, kejadian ini menunjukkan bahwa pelaku cukup menelusuri API yang digunakan oleh aplikasi Clubhouse untuk ”berbicara” kepada server layanan tersebut dan mengunduh data publik pengguna media sosial tersebut.
”Menguji penggunaan API itu tidak kalah pentingnya untuk menghindari akses data yang berlebih terhadap data pengguna,” kata Kulkani.
Menurut dia, pembukaan akses API secara terbuka ini pun bertolak belakang dengan kebijakan penggunaan atau terms of service dari Clubhouse sendiri. Berdasarkan dokumen kebijakan penggunaan Clubhouse tersebut, platform itu memang melarang siapa pun melakukan web scraping atau pengumpulan data secara otomatis dari layanannya.
Kerentanan akibat API juga dihadapi oleh raksasa media sosial Facebook. Setelah API-nya digunakan oleh firma konsultan politik Cambridge Analytica untuk panen data guna kepentingan pemenangan pemilu AS dan kampanye Brexit pada referendum di Inggris pada 2016, raksasa media sosial tersebut memberikan batasan terhadap API nya pada 2018.
Pemanenan profil pengguna Clubhouse ini menjadi insiden ketiga dalam sepekan terakhir. Awal pekan lalu, data publik 533 juta pengguna Facebook termasuk nomor telepon, tanggal lahir, dan alamat surel mengemuka. Data ini diduga didapatkan dari upaya web scraping sebelum pembatasan API pada 2018.
Tidak lama, data profil pengguna Linkedin yang diklaim sebesar 500 juta anggota juga dijual di forum peretas. Data tersebut mengandung informasi profil yang publik, antara lain nama lengkap, alamat surel, nomor telepon, hingga informasi pekerjaan.
Baik Facebook maupun Linkedin menyebut bahwa insiden ini bukanlah kebocoran, melainkan hasil pemanenan atau scraping dari profil pengguna yang bersifat publik.
Meskti kumpulan data tersebut tidak mengandung informasi sensitif, seperti nomor kartu kredit atau kode sandi, chief security evangelist dari firma keamanan siber ESET, Tony Anscombe, mengatakan, informasi tersebut dapat digunakan untuk upaya profiling calon korban oleh aktor kriminal.
Data yang mengandung informasi personal tetap dapat merugikan korban. ”Ini bisa digunakan untuk pencurian identitas, targeted phishing, social engineering, pencurian akun, dan berbagai penipuan lain,” kata Anscombe melalui keterangan tertulis.
RUU PDP krusial
Tanpa regulasi pelindungan data pribadi yang komprehensif, sanksi insiden kebocoran data atau kegagalan pengamanan data yang melibatkan warga negara Indonesia akan sulit diterapkan pada platform pengendali data.
Secara terpisah, Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan, draf rancangan undang-undang pelindungan data pribadi (RUU PDP) yang saat ini sedang dibahas oleh DPR dan pemerintah sebetulnya memungkinkan otoritas Indonesia untuk bertindak terhadap pihak pengendali data baik yang berada di Indonesia atau di luar negeri.
Wahyu, panggilan akrabnya, mengatakan, hal ini dapat dilakukan asal otoritas Indonesia dapat menjalin kerja sama dengan otoritas pelindungan data di negara yang bersangkutan.
Oleh karena itu, untuk mencapai upaya pelindungan data pribadi warga negara Indonesia yang komprehensif, masih diperlukan penuntasan dua tahapan krusial ini.
Pertama, pengesahan RUU PDP dan upaya penciptaan kerja sama antara otoritas pelindungan data di Indonesia dan sejumlah negara di mana terdapat pengendali data yang mengelola data pribadi warga Indonesia.
”Kalau dua langkah ini sudah dilakukan, otoritas Indonesia ini bisa memfasilitasi upaya penggantian biaya kerugian, misalnya dalam proses mediasi dengan si pengendali data,” kata Wahyu.