Startup Memerhatikan Keamanan Cyber – Beberapa waktu lalu, Tech in Asia pernah mengangkat kisah tentang seorang peretas asal Indonesia di Thailand yang menemukan celah keamanan di aplikasi pesan antar ojek di Indonesia, GO-JEK.
Menurut programmer tersebut, bug ini menyebabkan seseorang yang memiliki pengetahuan yang tepat dan hanya bermodalkan peramban web sederhana dapat menyusup ke sistem perusahaan, dan mengubah banyak hal seperti alamat e-mail, nomor telepon, username, dan bahkan memanipulasi kredit pulsa milik penumpang dan driver GO-JEK.
Dilaporkan bahwa bug ini telah muncul selama beberapa bulan sebelum si peretas ini membocorkan informasi tersebut ke ranah publik. Sejumlah media lokal juga cukup gencar mengekspos peristiwa ini.
Insiden ini membuat GO-JEK kalang kabut namun di lain sisi menimbulkan pertanyaan besar, apakah startup perlu lebih berhati-hati akan keamanan siber mereka? Kita semua tahu kalau GO-JEK merupakan salah satu perusahaan teknologi terbesar dan paling sering dibicarakan di Indonesia.
Mereka mengalami pertumbuhan yang signifikan dan telah meraih beberapa kali putaran pendanaan besar. Banyak yang sependapat kalau GO-JEK sudah tak lagi pantas menyandang gelar startup. Tak pelak GO-JEK pun mendapat julukan “UBER-nya sepeda motor” di Indonesia.
Beberapa waktu silam, Indonesia pernah dijuluki sebagai ibukotanya serangan virtual dunia. Pada tahun 2013, Akamai Technologies yang berbasis di USA, mempublikasikan laporan yang menyatakan bahwa Indonesia bertanggung jawab atas 38 persen trafik serangan peretas di dunia. Lucunya, angka itu terus bertambah.
Setelah melakukan polling di halaman Facebook Tech in Asia Community, saya berhasil menggali beberapa kisah yang sekaligus menjadi peringatan tentang startup yang mengabaikan keamanan siber mereka, dan terkadang mengorbankan perlindungan data pengguna agar dapat cepat terjun bersaing di pasar yang kompetitif.
”Mainan” bagi penguntit
Salah satu pengguna komunitas kami membagikan berita mengenai aplikasi bernama Tantan. Startup yang pada dasarnya merupakan kloningan Tinder di Cina yang meraih putaran pendanaan seri A sebesar $5 juta (sekitar Rp69 miliar) tahun lalu ini, memiliki celah keamanan yang krusial. Tantan mengirimkan kata sandi, nomor telepon, data lokasi, dan lain sebagainya lewat plain text dari aplikasi di smartphone pengguna ke server perusahaan.
Masalahnya, menurut blog Motherboard, hampir setiap komunikasi yang dilakukan antara aplikasi dan server Tantan di Cina terkirim tanpa terenkripsi. Dengan kata lain, seseorang yang sedang berada di suatu tempat dengan koneksi wifi dan sedikit pengetahuan di bidang IT dapat mencuri data pengguna jika mereka mau.
Masalahnya, menurut blog Motherboard, hampir setiap komunikasi yang dilakukan antara aplikasi dan server Tantan di Cina terkirim tanpa terenkripsi. Dengan kata lain, seseorang yang sedang berada di suatu tempat dengan koneksi wifi dan sedikit pengetahuan di bidang IT dapat mencuri data pengguna jika mereka mau.
Ditambah lagi, jika ingin mengetahui tempat tinggal seseorang, orientasi seksual, dan informasi pribadi lainnya, peretas tinggal memanipulasi lokasi asli dari setiap pengguna aplikasi tersebut. Tantan kadang mengirim data tersebut ke server beberapa kali dalam satu menit. Data tersebut, kemudian dapat dengan mudah di masukkan ke Google Maps untuk mencari tempat tinggal seseorang.
Kamu mungkin heran, “Kenapa ada orang yang rela repot-repot melakukan hal seperti itu? Apa mereka tidak punya pekerjaan yang lebih penting? Jawabannya: Ya, kebanyakan orang punya pekerjaan yang lebih penting. Namun, tidak semua orang. Bayangkan saja hal-hal yang mungkin dapat terjadi pada aplikasi seperti Tantan ini.
Celah keamanan ini membuat pengguna dapat menguntit pengguna yang lain, meskipun orang tersebut telah diblokir. Seseorang yang mungkin hubungannya ditolak di aplikasi tersebut, bisa saja memutuskan untuk mengakses data-data sensitif mengenai orang lain, dan menggunakannya sesuai keinginan mereka.
Perampokkan bank Bitcoin
Berita lain yang dibagikan oleh pengguna komunitas kami adalah kisah yang diambil dari situs PC World menyangkut perampokkan mata uang bitcoin senilai lebih dari $1 juta (sekitar Rp13,9 miliar).
Korban pencurian memiliki nama alias TradeFortress di komunitas Bitcoin, dan telah menjalankan bank virtual untuk mata uang ini dengan nama Inputs.io.
Saat artikel tersebut diturunkan, Ia mengaku telah kehilangan 4.100 Bitcoin yang setara dengan nilai $1,1 juta (sekitar Rp15 miliar) dalam dua serangan berbeda.
Korban mengatakan: “Peretas tersebut mencoba mengelabui akun hosting melalui beberapa e-mail (beberapa akun terbilang sudah lama dan tak menyertakan nomor telepon, sehingga mudah untuk di atur ulang). Ia mampu menembus keamanan 2FA lantaran terdapat celah di server host.” Daftar perampokan mata uang Bitcoin menjadi tajuk utama dalam beberapa tahun terakhir.
Semua anekdot ini bukan dimaksudkan agar kamu mengurungkan niat menggunakan aplikasi kencan untuk mencari cinta sejati kamu, menggunakan Bitcoin untuk mengirim uang, atau menggunakan GO-JEK sebagai sarana transportasi pribadi kamu. Namun ada satu pertanyaan yang mencuat: bagaimana standar minimum keamanan siber bagi produk teknologi? Apakah startup di Asia sudah harus menaruh perhatian khusus akan hal ini?
Kalau saya boleh berpendapat, dengan tegas saya akan mengatakan ya. Tanpa keberadaan pelanggan, tak akan lahir sebuah produk. Melindungi data pelanggan beserta informasi keuangan adalah prioritas utama. Startup punya tanggung jawab dan kewajiban moral untuk tidak mengorbankan keamanan hanya demi mengejar peluncuran produk.