Akhir-akhir ini gue sedang rajin membuka Twitter semenjak Twitter sekarang tidak bisa lagi melakukan pencarian jika tidak ter-autentikasi. Untung gue masih punya kredensial akun ormas buat numpang login. Meskipun jumlah *following *akun ormas relatif sedikit, tapi tiap hari ada aja warga yang mengomentari apapun yang muncul di lini masa thanks to fitur Quote Retweet nya Twiitter.

Berita yang cukup panas sekitar seminggu lalu per tulisan ini diterbitkan adalah tentang dicurinya data sebesar 1,5 TB yang diantaranya berisi 15jt data pengguna dan data sensitif lainnya. Korban dari pencurian tersebut adalah Bank BSI yang pada minggu lalu sempat terjadi *down *karena terkena serangan *ransomware *yang mungkin berkaitan.

Isu tentang data pribadi adalah topik favorit warga Twitter. Setiap akun akan berkoar tentang bagaimana tidak becusnya sebuah instansi dalam menjaga keamanan data penggunanya. Namun di lain sisi, ini kabar baik. Pengguna Internet khususnya di Indonesia setidaknya sudah cukup peduli tentang privasi khususnya yang berkaitan dengan data pribadi.

Serangan Lxxxbit

Berdasarkan pengakuan dari Lxxxbit, mereka menyerang sistem Bank BSI pada 8 Mei 2023, melakukan aksi yang membuat sistem mati, mencuri apapun yang bisa dicuri, dan sebagaimana ransomware pada umumnya: “mengunci” berkas yang ada dan hanya bisa dibuka oleh program khusus.

Lxxxbit memberikan tenggat waktu sampai 15 Mei 2023 kepada korban (Bank BSI) lalu melakukan “negosiasi” senilai $20M. Karena negosiasi gagal (korban hanya ingin menebus senilai $100,000), Lxxxbit akhirnya merilis data tersebut ke publik (internet) sebagaimana perjanjian dari negosiasi.

Apa bagian menariknya? Ini adalah pencurian & pemerasan.

Lxxxbit menyandera “data yang dicuri” dan meminta tebusan, jika tidak ditebus, maka hal yang dianggap tidak diinginkan akan terjadi.

Apa bagian menariknya lagi? Warga Twitter marah dan menyayangkan tindakan yang diambil oleh pihak korban. Bahkan beberapa ada yang memberi konsultasi gratis tentang bagaimana keamanan pada sebuah sistem seharusnya dirancang.

Gue pribadi sudah bosan mendengar berita tentang “kecolongan data” ini, dan puncaknya, ketika salah satu e-commerce terbesar di Indonesia menjadi korban. Bukan berarti gue tidak peduli dengan isu ini, of course gue peduli. Dan bukan tanpa alasan gue “self-host everything” karena gue lebih percaya diri sendiri dalam menjaga sistem keamanan daripada orang lain lebih dari apapun.

Awal-awal isu terkait kecolongan data menjadi populer di Indonesia gue rasa semenjak situs Have I Been Pwned semakin populer. Situs tersebut berguna untuk melakukan pemeriksaan apakah alamat email/kata sandi yang pengguna internet gunakan berada di basis data mereka atau tidak. Dan data yang mereka kumpulkan diambil dari data bocor yang diterbitkan ke publik (internet) oleh si pelaku pencurian.

Tidak jarang juga dikaitkan dengan situs lain (forum) yang secara teknis menjual apapun yang bisa dijual.

Mari kita berbicara tentang realita.

Pasar ada untuk mempertemukan penjual dan pembeli. Dalam kasus data pribadi, pembelinya sebenarnya itu-itu lagi: spammer, jaringan pengiklan, data broker, dsb.

Target pasar dari penjualan data pribadi bukanlah individu yang kesehariannya menjelajahi internet saat ada waktu. Ini adalah bisnis B2B, dan sebuah bisnis serius. Berbeda dengan zaman awal-awal internet yang data paling sensitif seperti nama pengguna/alamat email dan kata sandi menjadi bagian dari transaksi, hari ini, sebagian besar sistem seharusnya sudah merancang sistem autentikasi menjadi lebih aman lagi.

Data alamat email hanya berguna untuk mencocokkan pengguna lain yang menggunakan alamat email berbeda, yang seharusnya hanya berguna untuk bisnis yang menawarkan layanan untuk mencegah fraud.

Mari kita bahas tentang data pribadi di bagian lain dan kembali ke topik Lxxxbit.

Dalam dunia pemerasan, kita akan menggunakan sesuatu yang dianggap berharga sebagai penukaran. Ingat bercandaan harta-nyawa? Atau ancaman kakak kelas saat lo ketahuan merokok di loteng? Atau mungkin ancaman mantan lo yang akan menyebar foto lo walau no face no case?

Dalam kasus diatas, sesuatu yang dianggap berharga itu adalah harga diri lo. Harga diri lo dijadikan sandera untuk sesuatu yang harus lo tebus. Dan tahu bagian menariknya? Sekali lo menebus, maka penyanderaan akan terus berulang setiap butuh pertukaran. Lo sudah memberikan titik lemah lo yang tidak bisa ditutup sampai waktu yang menjawabnya.

And here’s the thing: data pribadi adalah sesuatu yang penting di Indonesia dan pastinya dibelahan dunia manapun juga. Namun minat “keresahan terhadap data pribadi” relatif tinggi untuk warga Twitter di Indonesia, dan data ini diambil dari hasil riset “trust me bro”.

Anyway, kasus data pribadi dianggap berharga karena dianggap memiliki nilai.

Karena hal itu, itu bisa dijadikan sebagai pertukaran yang menjanjikan untuk mendapatkan tebusan: bayar atau masyarakat akan menggila.

Aktivitas “hacking” sendiri bukanlah hal yang baru. Mari kita mulai dari aktivitas carding yang dulu sempat ramai. Untuk dapat bertransaksi di internet menggunakan jaringan pembayaran tertentu, setidaknya kita hanya butuh 3 data ini:

  • Nomor kartu kredit/debit
  • Masa aktif kartu
  • Kode CVV

Dulu kebijakan dalam menyimpan data sensitif seperti diatas belum seketat sekarang. Bahkan siapapun dapat menyimpan data tersebut tanpa ada regulasi yang jelas. Dan carder akan dengan senang hati membagikan hasil penemuannya (yang seringnya berdasarkan kerentanan dari plugin/module sebuah CMS pada masa itu) untuk tujuan cuci tangan. Membersihkan jejak.

Sekarang, sekalipun data tersebut leaked, kemungkinan besar tidak berguna jika instrumen pembayaran yang digunakan telah mendukung Three Domain Secure (3DS alias “OTP”).

Sudah tidak bisa lagi mencuci uang melalui skema segitiga, berpindah hotel setiap minggu ataupun iseng beli helikopter di ebay.

Selanjutnya, aktivitas hacking yang cukup populer juga adalah peretasan akun. Entah untuk tujuan for fun or for profit or both.

Pernah merasakan saat “Lupa password” lalu sistem memberikan kata sandi lo yang sebenarnya melalui email? Exactly, itu adalah masa ketika sistem masih menyimpan data sensitif secara telanjang dan masih tolol-tolol nya. Lalu ada yang ngide untuk menyimpan (menyembunyikan) data sensitif dengan teknik hashing. Karena terlihat keren mengingat data tidak disimpan secara telanjang, beberapa yakin ini sudah menambah level keamanan dan memiliki proses autentikasi sesederhana md5($_POST[‘PASSWORD’]) == $userget(‘password’).

Minat untuk membeli kredensial yang leaked untuk saat itu masih relatif tinggi. Tidak perlu john the ripper untuk memecahkan kata sandi, pencocokkan sederhana ke setiap kata di kamus yang dimiliki pun sudah cukup berbekal pengulangan dan fungsi md5.

Sekarang, data sensitif seperti kata sandi setidaknya sudah di hash menggunakan garam yang acak. Dulu setidaknya kita bisa menebak apakah hashing menggunakan md5, keccak, ataupun sha256 dengan melihat bentuknya. Sekarang, mengetahui bentuknya saja tidak cukup.

Sekalipun mengetahui “cost factor”, “algoritma”, “salt”, dan “hash” nya dengan melihat bentuknya, pada akhirnya yang dibutuhkan adalah “versi telanjangnya” dan untuk mencocokkan versi telanjang dengan versi yang sudah di hash tersebut, membutuhkan waktu bertahun-tahun jika memang tidak selamanya.

Bisnis penjualan data pribadi menjadi terlihat kurang menjanjikan.

Data yang dicuri terkesan kurang berharga karena terkesan tidak memiliki nilai. Apa yang harus dilakukan untuk membuat bisnis ini sustain?

Membuatnya terlihat bernilai!

Seperti, lihat mata uang kertas yang lo miliki dan tatap baik-baik. Dengan bentuk dan bahan dasar yang sama, setiap kertas memiliki nilai yang berbeda-beda, bukan?

Atau, silahkan lihat logo apel dibelakang perangkat lo. Logo tersebut diyakini memiliki nilai yang bisa menaikkan status ataupun gengsi bagi pemiliknya bagi beberapa orang.

Sekarang, ambil konteks nya data pribadi. Misal, data pribadi lo tersebar di internet: nama lahir, TTL, NIK, nomor KK, nomor rekening utama, alamat lengkap tempat tinggal, mutasi rekening, golongan darah, dsb.

Itu adalah sesuatu yang berharga khususnya dalam konteks privasi.

Bayangkan jika data tersebut disalahgunakan dan berada di tangan yang salah, mungkin seperti di tangan pembunuh bayaran yang disewa dari situs dengan TLD bawang atau di seseorang/sekelompok dengan julukan… petrus (pepet terus).

Atau, lo menjadi korban dari skema pembayaran segitiga yang dulu cukup populer di forum jual beli disaat “rekening bersama” belum menjadi fitur utama dari sebuah pasar dunia digital hanya karena nomor rekening lo diketahui oleh si pelaku.

Lalu apa poinnya?

Gue rasa poinnya adalah setidaknya memiliki Threat Model untuk lo sendiri.

Mungkin lo berpikir bahwa gue berpikir seperti ini karena gue belum pernah merasakan menjadi korban atau mungkin gue tidak terlalu menghargai tentang privasi.

Namun apapun itu, gue hanya bercerita tentang realita.

Sebuah dilema

Ingat ilmu dasar ekonomi tentang permintaan dan penawaran?

Di masa ketika orang-orang sangat antusias dengan mata uang kripto, beberapa orang berlomba untuk menambang koinnya sendiri dan tidak jarang membagikan hasil menambang dari yang mereka lakukan. Harga GPU menjadi melonjak karena minat yang tinggi tidak sebanding dengan ketersediaannya di pasar. Saat sadar bahwa aktivitas menambang tidak efektif dilakukan oleh penambang eceran (atau sadar karena lain hal), harga GPU mulai kembali ke normal dan mungkin terus turun karena minatnya sudah tidak sebanding lagi dengan ketersediaan seperti sebelumnya.

Garis bawahi kata kuncinya: minat.

Internet bukan hanya tentang Twitter, tapi Twitter cukup berkontribusi dalam memberikan informasi “apa yang sedang terjadi” secara real-time. Disamping itu, minat dapat didorong berkat fitur “topik yang sedang trending” nya Twitter khususnya untuk pengguna yang tidak ingin ketinggalan kabar.

Saat terjadi kasus pembobolan, apa yang pertama ada di pikiran kita? Jawabannya tergantung. Jika pembobolan tempat tinggal, mungkin mengkhawatirkan keselamatan penghuninya. Jika bank, mungkin mengkhawatirkan dana yang disimpan. Jika sebuah sistem dari layanan/aplikasi/platform yang ada di internet?

Kewarasan sysadmins.

Just kidding, tentu saja data. Data apa? Kemungkinan data pribadi.

Who cares dengan data berukuran 100 MB untuk entry blog dicuri oleh maling? Kecuali terlalu tolol tidak melakukan backup karena YOLO.

Anyways, pada dasarnya kita memberikan data pribadi kita berdasarkan persetujuan kita. Ingat tulisan panjang berjudul “Kebijakan layanan” yang langsung lo klik Agree? Exactly.

Jika bertanya untuk apa data tersebut disimpan, jawabannya untuk operasional. Tapi pernah bertanya *operasional yang seperti apa? *I don’t think so.

Intinya, kita akan setuju jika data yang kita berikan dijaga dengan aman dan tidak disalahgunakan. Seperti, kita mempercayai Google saat memasukkan data kartu kredit kita saat berlangganan ke YouTube Premium.

Dan tidak mungkin Google menyalahgunakan data tersebut hanya untuk kepentingannya, bukan?

Pernah menggunakan Path atau Swarm? Layanan tersebut cukup populer untuk melakukan check-in, in the good way. Misal, gue membagikan “kabar” bahwa gue sedang berada di Starbucks Paspes pada jam 13:37 WIB dengan melakukan check-in di aplikasi tersebut.

Kita mempercayai penyedia layanan bahwa mereka tidak akan menyalahgunakan data yang kita bagikan secara sadar tersebut ke mereka. Tidak terbayang jika data tersebut digunakan untuk mendapatkan celah bahwa lo sedang tidak berada di rumah lo, dan seseorang yang penasaran tahu bahwa lo tinggal sendirian.

Ingat kata kuncinya: penyalahgunaan.

Sekarang kita “privacy check” singkat dengan gue dan jawab pertanyaan ini dengan jujur tanpa memikirkan benar-salah:

  • Masalah ga kalau gue tahu lo suka minum kopi? Ini level satu
  • Masalah ga kalau gue tahu lo setidaknya seminggu sekali pergi ke Starbucks paspes setiap sore? Ini level dua
  • Masalah ga kalau gue tahu lo dalam seminggu ke sbux paspes jam 16, pesan caffe mocha, dan setidaknya menghabiskan 69rb setiap transaksi? Ini level tiga

Sekarang gue bisa buat persona lo jika semua jawaban diatas adalah “tidak”:

  • Lo suka minum kopi (peminum kopi)
  • Tempat kopi favorit di sbux paspes (tinggal kemungkinan di daerah Kuningan-Setiabudi)
  • Prefer ke sbux paspes sekitar sore jam 16 (untuk santai setelah bekerja)
  • Kopi favorit caffe mocha (kemungkinan suka coklat juga)
  • Rata-rata menghabiskan 69rb (kemungkinan gaji perjam nya 100rb/16jt per bulan/golongan white collar)

Berdasarkan persona tersebut, terbentuklah sebuah entitas anggap dengan nama “audiens” yang sangat berguna dalam bisnis iklan digital.

Data-data itulah yang diberikan secara sukarela yang membuat “iklan relevan” menjadi sesuatu. Mungkin lo membagikannya dengan melakukan pembayaran melalui QR, atau dengan membuat status di media sosial mainstream, atau apapun itu.

Namun bagaimana jika disalahgunakan? Misal, karena gue tahu 5 informasi diatas, bisa aja gue masukkan sianida ke gelas kopi yang lo minum? Who knows.

Kembali ke pembahasan, ada 2 kata kunci yang sudah kita kumpulkan: minat dan penyalahgunaan.

Kata kunci tersebut sengaja gue garis bawahi agar lo mempertimbangkan membuat threat model lo sendiri yang sempat gue singgung sebelumnya.

Sekarang kita kembali ke bisnis data pribadi.

Ini dilemanya: untuk membuat data pribadi tidak bernilai, lo harus membuat data pribadi tersebut tidak bernilai. Alias, tidak menghargai data pribadi tersebut, benar?

Misal, salah satu instansi pemerintah kecolongan dan data pribadi kita ada disana, anggap data apapun itu terkait asuransi. Untuk membuatnya “kasus” tersebut tidak bernilai, kita harus membiarkannya. Tidak memberikan perhatian, tidak membuatnya menjadi tren. Karena, anggap data yang kecolongan itu bukanlah hal yang penting/bernilai. Aktivitas pembobolan tersebut terlihat kurang bernilai, karena respon yang didapat tidak sebanding dengan usaha yang sudah dikerahkan, dengan catatan, bila tujuan dari aktivitas pembobolan tersebut adalah untuk mendapatkan perhatian.

Jika tujuannya bukan untuk perhatian, I guess penjahat macam apa yang meninggalkan jejak tanpa alasan?

Tapi ada solusi over-simplified-silver-bullet yang lebih praktikal dari itu yang akan kita bahas di bagian bawah nanti.

In the meantime, jika lo memang berniat untuk mendapatkan perhatian dengan mengambil kesempatan dalam kesempitan, mungkin bisa pertimbangkan untuk berpikir lagi saat ingin menekan tombol Tweet.

Bagaimanapun, tidak ada sistem yang aman dan kasus pembobolan data sangat menyebalkan karena korbannya pada akhirnya adalah pemilik data itu sendiri alias kita-kita juga.

Dan jika memang sangat peduli dengan data pribadi atau khususnya privasi di dunia digital, coba pikirkan kembali mengapa berada di sebuah platform yang sudah menjadi rahasia umum bahwa bahan bakarnya adalah data pengguna.

Sebuah platform yang model bisnisnya dari iklan.

Sebuah iklan yang lebih efektif karena tepat sasaran, berbeda dengan iklan yang dipajang di stopan carrefour yang tidak bisa diukur karena tidak ditargetkan untuk audiens tertentu.

Menyikapi data pribadi

Eropa memiliki regulasi bernama General Data Protection Regulation (GDPR), ada regulasi yang sangat jelas tentang menyikapi data pribadi seorang pengguna.

Contoh sederhana, misal, jika blog ini berada di jurisdiksi eropa, gue harus memberikan “banner” terkait data pribadi apa saja yang gue simpan dan harus berdasarkan persetujuan dari si pengguna nya. Misal, gue menyimpan alamat IP dari pengunjung blog gue selama 24 jam, aksi gue tersebut harus berdasarkan persetujuan dari lo sebagai pemilik, sebelum gue melakukannya.

Alamat IP berkaitan dengan data pribadi karena memberikan informasi dari daerah mana lo berasal dan menggunakan layanan penyedia internet apa. Berdasarkan informasi tersebut, intinya siapapun yang memiliki informasi tersebut dapat mengetahui bahwa “pengguna dengan alamat IP 74.74.69.69 adalah seseorang dengan nama Fariz dari Pasar Minggu”, misalnya.

Untuk menyikapi regulasi tersebut, setidaknya ada dua cara selain dengan meminta persetujuan dari pengguna: jangan simpan data pribadi atau hanya simpan bagian data yang relevan saja (yang tidak menggambarkan pribadi seseorang). Misal, jika yang gue butuhkan hanyalah untuk melacak “pengunjung blog gue dari negara apa aja”, secara teknis menyimpan data tersebut sebagai “74.74.69.0” pun cukup relevan dan informasi tersebut tidak berkaitan dengan data pribadi siapapun juga.

Di layanan komunikasi instan, penyedia layanan sudah mendukung enkripsi end-to-end untuk setiap konten yang dikirim oleh penggunanya. Yang gampangnya, jika suatu saat data-data di server WhatsApp bocor, si pencuri seharusnya tidak mendapatkan informasi yang berharga tentang apa yang pengguna WhatsApp berikan data tersebut ke WhatsApp, itupun jika disimpan oleh WhatsApp.

Bayangkan seperti data NIK disimpan di database dengan nilai ND+2BN4v2yYuAQV66ICk8BEwkhc= alih-alih 023452543312312, misalnya. Of course ada pertukarannya, seperti salah satunya enkripsi e2e tidak memungkinan untuk kasus ini. Tapi bukan berarti tidak melakukan enkripsi sama sekali kan?

Setidaknya encrypt at rest lah kalau enkripsi simetris terlalu mahal.

Dan good luck dengan politik yang ada by the way.

Anyways, bayangkan jika ada data bocor dan isinya seperti ini:

+-------------------------------+-------------------------------+------------------------------+-------+-------------+
|            name               |            nik                |             photo_url        | kk_id |  updated_at |
+-------------------------------+-------------------------------+------------------------------+-------+-------------+
| X9GM9fKfMLoEgGwHvmrBKnubXKw=  | M7Y1ar1cKVZ+0+MXAbTnwKZeAog   | wBj6YOq74fviji1uiJ+oxFKHCKk= | 31337 |  1651338000 |
| MfskhA7jRGDsf8lF9SaRb18tgco   | MfskhA7jRGDsf8lF9SaRb18tgco=  | MfskhA7jRGDsf8lF9SaRb18tgco  | 69420 |  1643648400 |
| mQ+z6KpzvLn9Lpro5+tqncVDQTo   | dlbYB0LksuQ6XSauJzGIqAocgaQ=  | JD+RVwPr69EgUwDM3l8x2nwi1YM= |  8069 |  1659286800 |
+-------------------------------+-------------------------------+------------------------------+-------+-------------+

Apa yang berharga selain data updated_at dan nik_id?

Namun tentu saja ini sebuah distopia.

Tapi tidak ada lagi cara mengamankan data pribadi selain melakukan enkripsi atau tidak menyimpannya sama sekali.

Penutup

Mari kita tutup dengan pertanyaan fundamental:

  • Apa sebenarnya yang lo khawatirkan dari terjadinya pembobolan data?
  • Apa dampak dari kekhawatiran tersebut?
  • Seberapa pribadi “data pribadi” menurut lo dan apa saja?
  • Apa makna privasi menurut lo selain “opsi visibilitas” ataupun “status audience”?

Salah satu tujuan dari tulisan ini adalah untuk membantu lo agar bisa menjawab setidaknya 4 pertanyaan diatas.

Ada hal yang menurut gue cukup lucu tapi ini nyata dan agak out of topic karena gue baru tahu kejadian ini.

Misal, lo bikin status di Twitter, apakah gue perlu izin untuk membacanya? Untuk membalasnya? Untuk melakukan apapun itu yang berkaitan dengan interaksi dengan status lo? Untuk menempelkannya di artikel yang gue tulis sekarang?

Apakah ada perjanjian eksplisit yang menegaskan “status ini hanya boleh dinikmati atau digunakan untuk keperluan non-komersil, untuk keperluan lainnya, izin dari *pemilik *status adalah kewajiban” atau something like that?

Seperti, bayangkan lo mendengar omongan orang lain di coffee shop yang suaranya sengaja dikeraskan biar terdengar oleh siapapun, terus doi ngasih disclaimer “lu pada boleh denger obrolan gue, tapi kalau lu jadiin obrolan gue untuk kepentingan komersil, lu harus izin dulu ke gue”.

Untuk karya seni yang melibatkan proses kreatif tentu masuk akal but a fucking 240 characters tweets???

Anyways, sebagai penutup, silahkan berkoar-koar tentang data pribadi. Tentang privasi adalah hak fundamental baik di dunia fisik ataupun di dunia digital. Tentang tidak becusnya suatu instansi dalam menjaga data pribadi yang dipaksa harus diberikan kepada mereka. Tentang penggunaan data pribadi yang dilakukan bigco untuk keuntungan mereka. Tentang infosec. opsec. gdpr. blockchain. firewall berlapis. k8s.

Tapi pertimbangkan ulang jika dirasa ingin mengambil kesempatan dalam kesempitan. Pertimbangkan ulang jika dirasa ingin membawa penonton ke panggung yang seharusnya tidak pernah ada.

Gue mengerti bagaimana menyebalkannya tidak bisa berbuat apa-apa selain menunjukkan kepedulian.

Tapi coba pertimbangkan, alih-alih mempermasalahkan setiap kali terjadi gempa, bagaimana bila fokus dalam menyikapi setelah kejadian gempa tersebut, karena sadar tinggal di ring of fire.