Dibongkar Teguh Ethical Hacker, Telkom Curi Data Browsing Pelanggan Indihome untuk Bisnis Metranet
Cyberthreat.id - Ketua Ethical Hacker Indonesia, Teguh Aprianto, membongkar tindakan curang yang dilakukan oleh Telkom terhadap pengguna Indihome. Pelacakan Teguh menemukan Indihome memasang script untuk melacak data riwayat browsing internet penggunanya dan dikirim ke Metranet, anak perusahaan Telkom yang bergerak di bidang iklan digital.
Dalam tulisan di situs pribadinya, Teguh mengatakan dirinya menemukan prilaku curang Telkom saat mengunjungi sebuah website tentang perawatan kucing. Dia lantas melihat source code di website itu dan menemukan adanya script yang mengirim data riwayat browsingnya ke server Indihome.
Script berisi request data ke server Indihome yang ditemukan Teguh.
"Ini tindakan pencurian. Saya menggunakan kata 'mencuri' karena melakukan sesuatu tanpa izin. Selain ini dilakukan secara diam-diam, kebanyakan orang awam pasti tidak menyadari hal ini," kata Teguh dikutip Jumat, 18 September 2020.
Riwayat browsing yang dicuri itu, kata Teguh, khususnya pada situs yang belum menggunakan sertifikat SSL untuk mengamankan websitenya yang ditandai dengan 'http', buka 'https.'
Beberapa parameter yang ditemukan Teguh dalam skrip yang ditanam Telkom itu berupa nama domain dan resolusi layar yang dipakai pengguna.
Dalam penelusuran lebih lanjut, Teguh menemukan data tersebut diarahkan ke sebuah sistem manajemen iklan yang disebut "Push Ads Management System" yang beralamat di http://p01.notifa.info/3fsmd3/wsadmin/auth/login.
Halaman itu "merupakan tempat untuk login internal yang mungkin digunakan content management."
Teguh tidak menjabarkan siapa pemilik sistem manajemen iklan itu. Namun, pantauan Cyberthreat.id, di bagian bawah form login tertulis "Metranet" dan hak cipta sejak 2014.
Diketahui, Metranet adalah anak perusahaan Telkom yang bergerak di bidang konten digital, e-commerce, iklan digital, smart platform dan financial services.
Halaman tersebut, menurut Teguh,juga memuat statistik dan struktur kode yang digunakan website tracker itu. Pada 14 September 2020, total hits-nya mencapai 26,6 miliar. Sehari kemudian, pada 15 September, jumlah bertambah menjadi 27,5 miliar. Artinya, dalam sehari, website tracker itu mendapat 1 miliar hits.
"Sampai saat ini saya masih belum tau apa alasan Indihome melakukan ini terhadap para pelanggan mereka. Namun kita semua tahu bahwa data seperti browsing history selama ini adalah data yang laku dijual ke pengiklan," kata Teguh.
Peraturan yang Dilanggar
Menurut Teguh, tindakan Telkom itu melanggar syarat dan ketentuan Indihome poin ke-8 yang mereka buat sendiri. Aturan itu berbunyi,"Telkom dilarang melakukan perubahan dalam bentuk apapun terhadap jaringan layanan IndiHome dan dilarang mengenakan sanksi kepada pelanggan kecuali sesuai dengan ketentuan Kontrak Berlangganan."
Teguh kemudian membahas tentang tindakan Telkom itu dengan Arietha Eleison Sembiring, salah satu peneliti di Tordillas.
Teguh bilang, menurut Atietha, yang dilakukan Telkom dan Indihome itu melanggar pasal 32 ayat 1 UU ITE.
"Pasal 32 ayat 1 UU ITE larang Indihome lakukan hal demikian," kata Teguh mengutip Ariehta.
Pasal 32 ayat 1 UU ITE itu melarang setiap orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik.
Teguh menambahkan, tindakan Telkom menanam script untuk melacak riwayat penjelajahan pengguna itu sebenarnya telah pernah diadukan ke Badan Regulasi Telekomunikasi Indonesia (BRTI) oleh pengguna Twittter @antoitb sejak 2018 lalu. Namun, saat itu, layanan Telkom di Twitter mengatakan itu adalah tindakan legal.
"Sore Kak, kami mau infokan ttg ads tsb merupakan legal, yg bertujuan untuk promosikan fitur-fitur yg tersedia kpd konsumen yg menggunakan jaringan Indihome. Kami akan bantu hapus ads tsb, mhn infokan websitenya. Untuk menjaga data privasi pelanggan,mhn infokan via DM. Tks -Martin," begitu bunyi jawaban layanan pelanggan @TelkomCare di Twitter.
Dalam sejumlah kasus lain, pengguna Indihome juga kerap dialihkan secara otomatis ke situs uzone.id dan duniagames.co.id yang juga milik anak usaha Telkom. Ini terjadi ketika pengguna salah mengetikkan alamat domain, atau alamat domain yang dicari tidak ditemukan.
Di bagian "Kontak" duniagames.co.id disebutkan berkantor di Telkomsel Smart Office di Jalan Gatot Subroto, Jakarta.
Solusi Memblokir Pelacakan oleh Telkom - Indihome
Teguh menyarankan pengguna Indihome untuk menambahkan script dari Abdilahrf yang tersedia di GitHub. Script ini disebut bisa memblokir pelacakan oleh Telkom termasuk sejumlah hostname-nya seperti uzone.id, p01.notifa.info dan lain-lain seperti terlihat dalam tangkapan layar di bawah ini. (Scriptnya bisa diakses di tautan ini).
"Selain itu alternatif yang bisa digunakan adalah selalu gunakan VPN ketika terhubung ke suatu layanan internet yang menggunakan Indihome. Jangan gunakan VPN gratis yang tersedia di Play Store ataupun App Store, karena data kamu juga akan diperjualbelikan oleh penyedia layanan VPN tersebut," tambah Teguh.
Pada hari yang sama, Teguh juga membuat petisi online di Change.org dengan judul "Indihome, Berhenti Mencuri Browsing History Pelanggan." Hingga Jumat siang ini, petisi yang dilayangkan ke Ombudsman Indonesia itu sudah diteken oleh lebih dari 1.000 orang.[]
Update:
-
Respon Telkom Usai Terungkap Curi Data Browsing Pelanggan Indihome, Situs Penampung Dimatikan
-
Sudah Setahun Lebih Avast Deteksi Situs Pelacak dari Telkom-IndiHome sebagai Phishing
Berita terkait: