Aplikasi Fitness dan Kencan Sukses Membongkar Data Personel Intel
Dimitri Tokmetzis dan beberapa kawannya tiba di sebuah perumahan di Belanda bagian Selatan. Ia melihat beberapa orang yang sedang mencuci mobil, bekerja di halaman, atau membongkar barang belanjaan.
Di dalam rumah yang mereka tuju, terlihat seorang pria yang mengenakan celana pendek, sedang duduk di sofa sambil menonton televisi. Tokmetzis dan kawan-kawan langsung mengenalinya dari foto akun LinkedIn yang sebelumnya mereka telisik. Pintu bel ia tekan, si pria membuka pintu dengan hati-hati.
Tokmetzis memberi tahu bahwa ia tahu nama asli si pria, rute jogingnya, sampai bagaimana mereka bisa menemukan alamat rumahnya. Semua berasal dari penelusuran di Polar, aplikasi penyedia statistik kebugaran yang si pria gunakan. Tokmetzis mampu melacaknya, dan hari itu mereka mencoba bertemu langsung.
Si pria terperangah. Ia tak menyangka data dirinya bisa terbongkar dengan mudah. Wajar saja, sebab dirinya adalah seorang personel Dinas Intelijen dan Keamanan Militer Belanda (MIVD). Ia menolak menjawab pertanyaan, menyarankan Tokmetzis ke departemen pertahanan Belanda, dan menutup pintu secepat kilat.
Tokmetzis, Maurits Martijn, Riffy Bol, dan Foeke Postma membagikan cerita tersebut dalam laporan semi-interaktif De Correspondent, akhir pekan lalu, bertajuk “Here’s how we found the names and addresses of soldiers and secret agents using a simple fitness app”.
Si pria hanya satu di antara sekian intel, personel militer, dan profil yang bekerja di tempat sensitif yang identitas dan alamat rumahnya berhasil dibongkar oleh Tokmetzis dkk.
Modalnya adalah Strava, aplikasi sekaligus jejaring sosial untuk pelaku olahraga lari maupun bersepeda, dari kalangan awam maupun atlet, yang diluncurkan sejak 2009. Dalam laporan BBC, Strava mengklaim kini penggunanya sudah mencapai “puluhan juta”.
Isunya sebenarnya sudah panas sejak Januari silam. Strava menyediakan peta yang menunjukkan aktivitas para pengguna, terutama rute lari atau bersepeda. Semuanya bersifat publik, sehingga siapa saja bisa mengaksesnya. Visualisasinya pun mudah dibaca sebab memakai warna-warna kontras.
Permulaannya adalah iseng. Namun lama kelamaan Tokmetzis dan kawan-kawan makin tertarik sebab aplikasi tersebut punya potensi untuk melacak siapa saja, termasuk orang-orang yang bekerja di institusi sensitif.
Tokmetzis menemukan betapa mudahnya melacak alamat rumah personel pangkalan militer dengan menggunakan Strava. Ia mampu mengidentifikasi profil dan alamat rumah seorang inspektur jenderal militer Amerika Serikat yang kerap berlari-lari di sekitar Teluk Guantanamo.
Ia juga bisa melacak profil dan alamat rumah beberapa tentara AS di Bandara Internasional Erbil di Irak utara, beberapa tentara Perancis di Pangkalan Militer Gao di Mali, dan seorang analis AS yang bekerja di Pangkalan Militer Fort Meade di AS—turut jadi markas Badan Keamanan AS (NSA).
Tokmetzis dan kawan-kawan kemudian mencoba teknik yang sama melalui aplikasi Endomondo. Endomondo diluncurkan pada 2007 sebagai aplikasi pelacak statistik kebugaran. Under Armour kemudian membelinya pada 2015 dan mengklaim sudah memiliki lebih dari 20 juta pengguna.
Melalui Endomondo, Tokmetzis dan kawan-kawan dengan mudah menemukan profil dan alamat rumah tiga sersan dan seorang administrator sistem di Teluk Guantanamo, seorang penasihat untuk Kepala Staf Gabungan di Fort Meade, dan dua tentara di Bandara Internasonal Erbil.
Aplikasi selanjutnya adalah Runkeeper yang dipakai oleh lebih dari 50 juta orang dan ada sejak tahun 2008. Melaluinya upaya yang sedikit lebih keras, Tokmetzis dan kawan-kawan berhasil menyortir profil dan alamat rumah dari beberapa personil Pangkalan Militer Gao, Pangkalan Militer Volkel di Belanda, dan di Teluk Guantanamo.
Data paling menarik diberikan oleh Polar, aplikasi pelacak kebugaran digital asal Finlandia. Selain mengetahui profil, rute lari atau bersepeda, pengguna juga bisa mengetahui jaraknya, durasinya, berapa kalori yang terbakar, dan berapa like yang diberikan oleh pengguna lain.
Polar juga menunjukkan peta area di mana pengguna melaksanakan aktivitas olahraganya, dan jika di zoom-out, akan terlihat posisi para pengguna lain. Alamat rumah bisa mudah dijajaki dengan memperhatikan titik awal pengguna memulai lari atau bersepeda. Demikian pula untuk instansi tempat ia bekerja.
Berawal dari profil dan alamat rumah, Tokmetzis dan kawan-kawan bisa melacak media sosial yang dipakai target. Entah Facebook atau LinkedIn, para personel militer atau instansi intelijen rupanya banyak yang terbuka terkait statusnya di akun media sosial.
Foto keluarga, misal, jamak dipajang, juga informasi teranyar aktivitas mereka. Melalui proses pencarian sederhana Tokmetzis dan kawan-kawan menjelaskan secara detail proses penemuan masing-masing target.
Namun, yang paling menarik, adalah hasil penggalian big-data yang menunjukkan besaran skala pencarian mereka: Eropa, Amerika Utara; Afrika Barat dan Timur; Timur Tengah; Asia Selatan, Tenggara, dan Timur.
Mereka sukses memantau pergerakan para pengguna Polar di 125 pangkalan militer, 48 fasilitas penyimpanan dan pengembangan nuklir, 18 pusat intelijen negara, 6 markas drone, 4 kantor kedutaan besar, 2 pembangkit listrik tenaga nuklir, 2 tempat tinggal anggota kerajaan, 1 instansi pendidikan polisi, dan tak ketinggalan, Gedung Putih.
Aktivitas paling banyak terlacak ada di sekitar Pangkalan Udara NATO (Pakta Pertahanan Atlantik Utara) Geilenkirchen di Jerman dengan 44 pengguna Polar. Di posisi kedua ada Pangkalan Udara Spangdahlem, masih di Jerman, dengan 29 pengguna.
Berturut-turut di bawahnya dengan 28 pengguna hingga tersedikit 11 pengguna terlacak mayoritas di Timur Tengah. Antara lain di pangkalan udara di Uni Emirat Arab, Qatar, Bahrain, Kuwait, Afghanistan, Djibouti, Mali, Irak dan Belgia.
Pangkal persoalan isu ini adalah sikap narsis orang-orang penting yang membuat keamanan diri, keluarga, dan negara terancam. Ironis, sebab intel, personel militer, atau pengguna lain yang bekerja di berbagai instansi sensitif justru punya tugas untuk menyembunyikan identitas personalnya.
“Korporasi atau institusi harus memastikan langkah-langkah keamanan yang ada tidak dilumpuhkan hanya dengan kecerobohan digital semacam ini,” tegas Tokmetzis dan kawan-kawan.
“Perusahaan teknologi harus menyadari betapa sensitifnya data yang mereka kumpulkan, simpan, dan bagikan dengan seluruh dunia—dan juga tanggung jawab yang mengikutinya,” imbuh mereka.
Akhir Januari lalu New York Times mengutip cuitan Jeffrey Lewis, analis dari Middlebury Institute of International Studies di Monterey, California. Strava, menurutnya, “sedang menduduki satu ton data yang sebagian besar entitas intelijen benar-benar akan membunuh untuk mendapatkannya”.
Bukan pendapat yang hiperbolis. Tokmetzis dan kawan-kawan juga menyatakan risikonya besar jika data jatuh ke grup ekstremis, seperti ISIS, yang sedang diperangi oleh institusi militer atau intelijen di mana pengguna aplikasi bekerja. Profil dan alamat bisa dipakai untuk modal balas dendam, atau dijual informasinya ke penawar tertinggi.
Rute berolahraga juga bisa dianalisis sebagai jalur yang paling sering dipakai oleh pasukan di pangkalan militer untuk bergerak dari satu lokasi ke lokasi lain. Informasi ini bisa dipakai oleh kelompok ekstremis untuk mengadakan serangan darat, terutama saat konvoi berada di titik paling tidak aman.
Juru bicara Pentagon berkata bahwa Departemen Pertahanan AS merekomendasikan agar semua personelnya membatasi pertunjukan profil di media sosial. Kajian situasi terkini mengarah pada kemungkinan “apakah akan ada pelatihan atau bimbingan tambahan” untuk mencegah kemungkinan terburuk.
Lewis pernah menulis di Daily Beast bahwa data Strava pernah melacak pergerakan yang sama di sekitar markas utama komando rudal rahasia Taiwan. Polemik pun terangkat ke permukaan mengingat di dalamnya terdapat rudal jarak jauh yang mampu menjangkau Beijing, ibukota negara musuh ideologis Taiwan.
Strava bukan aplikasi pertama dengan metode penambangan data pribadi, jejal lokasi pengguna, sampai menawarkan opsi untuk membagikannya ke publik.
Para peneliti di Universitas Kyoto pada 2016 mengungkapkan risetnya, bahwa mereka mampu menemukan lokasi seseorang secara tepat dengan menggunakan situs kencan populer. Pelacakan ini bahkan bisa tetap dilakukan meski si pengguna telah mengambil langkah-langkah untuk menyamarkan informasi pribadinya.
Strava bergerak lebih jauh dengan kemampuan melacak pergerakan seseorang secara detail. Potensi “mangsa”nya besar sebab korporasi mengklaim penggunanya kini ada di hampir setiap negara. Aplikasinya bisa dipakai di ponsel Android maupun Apple, juga di perangkat-perangkat digital lainnya.
Pernyataan resmi Strava, sebagaimana yang diperoleh New York Times pada Januari lalu, memberi penekanan pada pengaturan masing-masing individu agar data-data personalnya aman. Komitmen mereka jelas, yakni agar pengguna lebih memahami pengaturan tersebut.
“Untuk memberikan kontrol bagi para pengguna atas segala yang mereka bagikan melalui aplikasi,” tegas mereka, sekali lagi.
Baca juga artikel terkait APLIKASI ONLINE atau tulisan menarik lainnya Akhmad Muawal Hasan