Cukup Isi yang Perlu, Hindari Data Pribadi di Media Sosial ”Dipanen”
Sejumlah insiden pemanenan data, biasa disebut scraping atau crawling, yang melibatkan Facebook, Linkedin, dan Clubhouse, dua pekan terakhir telah menghasilkan dataset yang berisi lebih dari 1 miliar informasi akun.
JAKARTA, KOMPAS — Setelah beberapa insiden kebocoran data pribadi sejumlah platform yang terjadi tahun lalu, awal 2021 ini diwarnai dengan insiden scraping/crawling atau pemanenan data publik secara otomatis dalam jumlah besar.
Dalam periode kurang dari sepekan pada awal April ini, lebih dari satu miliar rekaman data profil publik pengguna Facebook, Linkedin, dan Clubhouse dijual atau bahkan dibagikan secara gratis di forum peretas.
Kabar adanya kumpulan data masif berisi 533 juta pengguna Facebook pertama kali mencuat pada 3 April ketika peneliti keamanan siber asal Israel, Alon Gal atau @underthebreach di Twitter, mendeteksi adanya peretas yang membagikan basis data tersebut di forum internet.
Data tersebut berisi nama lengkap, nomor ponsel, lokasi, tanggal lahir, hingga alamat surel pengguna Facebook dari 106 negara. Dari Indonesia disebut ada 130.331 akun.
Baca juga:
- Kebocoran Terus Berulang, Indonesia Butuh Regulasi Perlindungan Data Pribadi
- Data Pribadi Dijual Bebas
- 1,3 Juta Data Pengguna Clubhouse ”Dipanen”
Kepada sejumlah media dan publikasi, Facebook menyatakan bahwa data tersebut adalah hasil scraping profil pengguna Facebook pada 2019. Raksasa media sosial itu pun menyatakan bahwa telah menutup akses pemanenan data tersebut pada Agustus 2019.
Dalam periode kurang dari sepekan pada awal April ini, lebih dari satu miliar rekaman data profil publik pengguna Facebook, Linkedin, dan Clubhouse dijual atau bahkan dibagikan secara gratis di forum peretas.
Mikko Hypponen, pakar dari firma keamanan siber Finlandia, F-Secure, mengonfirmasi kepada Kompas pada Rabu (14/4/2021) bahwa data scraping terhadap Facebook tersebut tampaknya dilakukan dengan menyalahgunakan fitur mencari teman atau ”Find Friends” dengan nomor ponsel.
Hypponen mengatakan, si pelaku mengunggah sejumlah besar nomor ponsel secara acak ke fitur tersebut dan kemudian menggabungkan daftar akun Facebook yang mencantumkan nomor ponsel tersebut.
Beberapa hari kemudian, pada 6 April, Cybernews.com melaporkan bahwa basis data yang diduga berisi 500 juta pengguna Linkedin dijual di forum dengan harga minimal ”4 digit” dollar AS.
Data tersebut berisi ID Linkedin, nama lengkap, alamat surel, nomor telepon, jenis kelamin, tautan ke profil Linkedin, tautan ke media sosial lain, dan keterangan jabatan si pengguna.
Dua hari kemudian, Linkedin menyatakan bahwa itu bukanlah hasil pembobolan, melainkan hasil scraping data publik sekaligus diagregasi dengan data yang berasal dari situs lainnya. ”Ini bukan data breach, tidak ada data privat pengguna Linkedin,” demikian bunyi keterangan resmi Linkedin.
Tidak sampai sepekan, media sosial berbasis audio, Clubhouse, menjadi korban insiden serupa. File basis data yang berisi 1,3 juta data profil pengguna Clubhouse dibagikan di forum.
Data tersebut berisi ID pengguna, nama lengkap, tautan foto profil, username, nama akun Twitter dan Instagram, jumlah pengikut, jumlah yang diikuti, tanggal pembuatan akun, dan nama akun pengundang.
Berkaca pada kejadian ini, peneliti keamanan siber Teguh Aprianto meminta warganet Indonesia untuk tidak mengisikan profil media sosial dengan data yang terlalu lengkap. Menurut dia, cukup perlu mengisi formulir yang mutlak dibutuhkan untuk mendaftar layanan tersebut.
Hal ini dapat mengurangi informasi yang didapatkan jika ada seseorang yang hendak melakukan crawling informasi pengguna pada suatu platform media sosial.
”Ketika register di suatu platform, lalu ada form yang tidak penting-penting amat buat diisi atau tidak required sebaiknya dikosongkan saja,” ujar Teguh.
Teguh berpendapat, jika kumpulan data publik berisi informasi yang terlampau komplet, seperti nama lengkap, alamat surel, dan nomor telepon seluler, orang tersebut akan berisiko menjadi korban tindak kriminal siber.
”Dari profiling, doxxing, phishing, hingga penyalahgunaan identitas,” ujarnya.
Layanan pemeriksa kebocoran data haveibeenpwned.com kini telah memasukkan nomor ponsel yang ada pada data 533 juta pengguna Facebook tersebut. Warganet dapat memastikan apakah akunnya termasuk yang di-scraping melalui situs tersebut.
Berikan batasan
Teguh juga menyoroti betapa pentingnya bagi pengelola platform untuk melakukan pembatasan terhadap setiap penggunaan API pada layanannya. API adalah application programming interface, sebuah fitur pemrograman yang memungkinkan dua atau lebih aplikasi berkomunikasi secara langsung.
Ia mencontohkan Twitter yang memungkinkan pengguna menyedot data dalam jumlah besar melalui API yang memang disediakan. Namun, sebelum bisa mendapatkan akses tersebut, pengguna harus mengisi form pendaftaran dan menjelaskan tujuannya.
”Membatasi dan juga melakukan verifikasi terkait kebutuhan si peminta akses, Twitter melakukan ini ketika kita ingin mendapatkan akses ke API,” kata Teguh.
Ketika register di suatu platform lalu ada form yang tidak penting-penting amat buat diisi atau tidak required sebaiknya dikosongkan saja.
Menilik dokumentasi Twitter, penggunaan API pun dibatasi. Pengguna hanya dapat melakukan 180 request atau permintaan akses API untuk mencari cuitan dengan kata kunci dan filter tertentu. Dalam level pengguna basic, pengguna pun hanya dapat mengunduh cuitan dalam jangka waktu tujuh hari terakhir.
”Pemberlakuan limit ini juga bertujuan untuk membantu pengguna kami untuk merasa lebih aman dan melindungi privasi mereka sekaligus tetap menjaga akses yang terbuka ke platform developer kami,” bunyi keterangan Twitter.
Situs jejaring sosial tandingan Twitter yang dibuat oleh kalangan konservatif Amerika Serikat, Parler, pernah mengalami insiden hampir seluruh kontennya disedot oleh peretas pada pertengahan Januari 2021. Hal ini disebut karena adanya celah keamanan yang memungkinkan peretas mengambil segala isi platform tersebut melalui API. Total, jumlah data yang diambil 56 terabyte (TB).
Parler diyakini menjadi lokasi para pendukung mantan Presiden AS Donald Trump berkoordinasi untuk menyerbu DPR AS saat itu.
Praktisi keamanan siber Satriyo Wibowo pun menilai setiap platform harus terus memperbarui kemampuannya dalam mengenali berbagai potensi celah keamanan yang dapat muncul dalam platformnya.
”Ada modus operandi yang terkadang tidak diantisipasi oleh pemilih sistem. Fungsi threat intelligence dan threat hunting menjadi penting di sini untuk mendeteksi dan mencegah penyalahgunaan fitur,” kata Satriyo.
Sudah pasrah
Di sisi lain, vakum regulasi pelindungan data yang komprehensif sudah cenderung membuat warganet Indonesia pasrah. SMS dan panggilan telepon berisi tawaran pinjaman, kartu kredit, asuransi, hingga penipuan berbentuk undian sudah dianggap hal lumrah.
Hasil investigasi Kompas pun telah menemukan bahwa data pribadi perbankan yang berisi nama, nomor telepon, alamat, hingga nama orangtua, dijual seharga sekitar Rp 300 per data.
”Sudah bertahun-tahun alamat rumah dan nomor ponsel bocor ke mana-mana, dapat tawaran asuransi, dapat undian. Sudah bocor sejak lama, mau bagaimana lagi,” kata Tania Listio (26), pengajar musik asal Malang.
Bagi Agant Renown (27), karyawan sebuah perusahaan teknologi, kebocoran data pribadi sensitif seperti yang dialami sejumlah platform marketplace Indonesia sebetulnya telah memunculkan kekhawatiran terhadap penyalahgunaan data tersebut.
”Di sana banyak data diri yang tersimpan. Data, terutama nama lengkap, nomor telepon, dan alamat rumah lengkap, takutnya bisa disalahgunakan,” ujarnya.
Namun, regulasi perlindungan data pribadi yang komprehensif semacam RUU PDP yang mengatur hak-kewajiban dari subyek, pemroses, dan pengendali data masih buntu di DPR sejak penyusunannya dimulai pada Januari 2020.
Teguh menilai, RUU PDP sudah dinantikan pengesahannya. Sebab, selama ini Indonesia tidak memiliki regulasi perlindungan data pribadi yang komprehensif.
”(RUU PDP) ini krusial sekali dan sampai sekarang tidak jelas prosesnya,” tambah Satriyo.