Tuesday, January 12, 2016

Belajar Menghargai Privasi dan Data dari Kebocoran Aplikasi GoJek

Dalam dunia yang semakin terhubung privasi dan data menjadi hal yang sangat penting. Di negara-negara maju seperti Eropa mereka rela "berkelahi" demi privasi dan keamanan data mereka di internet. Namun sedikit berbeda dengan Eropa, Amerika Serikat dikenal lebih longgar terkait privasi dan keamanan data, namun bukan berarti sama sekali tidak memberikan perhatian.

Negara-negara yang tergabung di Uni Eropa sampai saat ini masih berkelahi dengan raksasa teknologi seperti Apple, Google, Microsoft dan banyak lainnya terkait privasi dan keamanan data pengguna. Baru-baru ini bahkan Facebook didenda karena lalai memperhatikan sisi privasi. Namun ceritanya akan lain dan jauh berbeda dengan di Indonesia.

Kita bisa melihat peristiwa yang baru saja terjadi, yaitu bocornya aplikasi GoJek. Sedikit kembali ke belakang, GoJek merupakan hot start up Indonesia saat ini. Penggunanya mungkin sudah mencapai jutaan jika melihat jumlah download aplikasi mereka di Android saja, belum lagi di iOS. Namun sangat disayangkan, start up ini lalai soal privasi dan keamanan data penggunanya.

Sebelum pengungkapan baru tentang bocornya aplikasi GoJek oleh Yohanes Nugroho di blognya, aplikasi GoJek (dan juga GrabBike) dituding memungkinkan drivernya melihat nomor ponsel pengguna. Ini sangat berisiko karena bisa melahirkan kejahatan yang tidak bisa diduga karena nomor ponsel merupakan barang pribadi yang tidak bisa sembarang dilihat orang lain yang tidak berhak.

Pengungkapan Yohanes Nugroho sebenarnya bukan sama sekali baru. Jika kita lihat dengan teliti, bugs yang dilaporkannya adalah untuk bulan Agustus 2015. Hal itu berarti sekitar 5 bulan yang lalu. Sebagaimana diungkapkannya pihak GoJek memintanya untuk menahan pengungkapan celah keamanan di aplikasi GoJek tersebut hingga tanggal 10 Januari 2016. 

Catatan juga, bahwa sebagian bugs yang dilaporkan sudah ditambal, namun masih banyak yang belum. Melihat bahwa bugs ditemukan di akhir Agustus dan kemudian dicek lagi pada bulan Desember dan ternyata masih banyak celah yang terbuka, kita bisa menyimpulkan bahwa pihak GoJek terlalu lambat untuk memperbaik celah yang ditunjukkan.

Ini menunjukkan kekurangseriusan GoJek dalam memberikan perlindungan privasi dan data kepada penggunanya dan mungkin ini bisa dikategorikan sebagai pelanggaran. Namun sayangnya, di Indonesia belum tersedia payung hukum yang bisa memaksa perusahaan seperti GoJek untuk memperhatikan sisi privasi dan keamanan data pengguna sehingga jika mereka lalai bisa didenda seperti yang dialami oleh Uber di New York.

Hal yang lebih menyesakkan bagi saya sebagai pengguna GoJek adalah tanggapan yang kurang cepat terhadap celah yang dilaporkan kemudian menutup celah tersebut. Sebagai hot start up seperti GoJek sibuk menaikkan hype mereka di mata publik dan melupakan esensi perlindungan pengguna dan juga driver mereka sendiri. Saya kira GoJek terlalu sibuk berdandan agar terlihat mentereng.  

Bayangkan jika enam hal berikut ini dieksploitasi oleh penjahat:
  1. Siapapun bisa mencari customer ID berdasarkan telepon atau nama atau email.
  2. Siapapun bisa mengubah pulsa driver gojek manapun.
  3. Siapapun bisa melihat data pribadi driver gojek, termasuk foto, alamat, dan bahkan nama ibu kandung.
  4. Siapapun bisa mendapatkan nama user, email, no HP user lain.
  5. Siapapun bisa mengganti no HP dan nama user lain, tanpa perlu tahu passwordnya.
  6. Siapapun bisa melihat order history orang lain.
Mengerikan tentu saja. Akan sangat banyak kemungkinan kejahatan yang akan terjadi.

GoJek Lalai, Pengguna Abai

Hal yang perlu kita kritisi adalah bahwa kelalaian pihak GoJek tampaknya bagi pengguna hal yang biasa saja. Saya mencoba menanyakan kepada pengguna apakah mereka peduli dengan soal privasi di internet melalui poll di Twitter. Dengan follower sebanyak 2.240 lebih dan sebagian besar orang Indonesia hanya tiga jawaban yang ada meskipun semua jawaban menunjukkan peduli.

Saya rasa meskipun tidak bisa dijadikan sebagai ukuran, poll di Twitter tersebut secara umum menggambarkan kondisi pengguna internet atau aplikasi di indonesia, yaitu mereka abai dengan privasi dan keamanan data. Kebocoran aplikasi GoJek yang cukup besar tersebut, belum mampu melahirkan awareness terhadap pentingnya privasi dan keamanan data. 

Jika sudah demikian halnya, kita memang tidak bisa mengharapkan hal yang lebih baik dari penyedia layanan. Mereka akan selalu memprioritaskan seberapa banyak pengguna, sementara sisi privasi pengguna dan keamanan merupakan poin paling akhir yang mereka lihat. Sebab toh kalaupun bocor tak banyak yang peduli. Namun mereka yang peduli privasi dan keamanan akan terjebak antara menggunakan layanan atau memilih moda angkutan lain yang lebih aman dari sisi privasi, namun mungkin lebih mahal seperti ojek pangkalan, padahal sebelumnya sudah sangat enak menggunakan aplikasi.

Hal lain yang patut menjadi perhatian adalah bahwa dalam kasus GoJek tidak tersedia tool untuk menghapus akun GoJek. Padahal semestinya GoJek menyediakan tool tersebut agar pengguna yang sudah tidak nyaman bisa menghapus akun mereka dan terhindar dari kebocoran yang tidak diinginkan. Tidak adanya tool untuk menghapus akun membuat pengguna yang sudah tidak nyaman merasa dimanfaatkan. 

Dari sisi regulasi, sangat disayangkan aturan yang bisa mengikat penyedia layanan agar memperhatikan privasi dan keamanan pengguna sampai saat ini belum tersedia. Sebagai negara yang datang belakangan di dunia internet, Indonesia selalu tertinggal dalam menyediakan regulasi yang layak untuk layanan internet sehingga penyedia layanan makin leluasa untuk lalai.

Menghargai Privasi? Nonsense!

Peristiwa bocornya aplikasi GoJek bisa menjadi awal yang baik bagi pengguna untuk menghargai privasi di zaman terhubung seperti sekarang ini. Usaha minimal yang bisa dilakukan adalah untuk sementara menghapus aplikasi GoJek sehingga tidak menggunakannya sampai ada perbaikan yang memadai. Perlu diketahui menghapus aplikasi GoJek bukan terhindar dari kebocoran data, sebab history layanan masih tersedia dan dapat diintip (selama belum ada perbaikan). Namun ini usaha minimal agar tidak semakin banyak data pengguna yang bocor.

Namun saya skeptis hal ini akan dilakukan pengguna. Berbagai alasan bisa dikemukakan untuk terus menggunakan layanan apapun (tidak hanya GoJek) meskipun sudah terbukti layanan tersebut lalai. 

Tiba-Tiba Dua Malam di Purwokerto

Stasiun Purwokerto di malam hari Entahlah, suatu waktu saya tiba-tiba sampai dan bermalam di sebuah kota, Purwokerto , namanya.  Se...