Zoom Punya Rekam Jejak Keamanan yang Bermasalah

Selagi physical distancing terus digalakkan dan kantor silih berganti merumahkan pegawainya, popularitas aplikasi video conference Zoom meroket. Menurut Eric S. Yuan, CEO Zoom, pada Desember 2019 lalu peserta rapat daring di Zoom mentok di angka 10 juta orang per hari. Pada Maret 2020, angka tersebut melonjak drastis jadi 200 juta pengguna sehari.

Firma Apptopia memperkirakan bahwa pada bulan Maret saja, jumlah pengguna Zoom naik 150 persen. Di AS saja, pada 30 Maret 2020 sebanyak 4.84 juta orang rapat daring melalui Zoom--jauh melebihi kompetitornya seperti Microsoft Teams, yang hanya digunakan 1.56 juta pengguna pada hari itu. Bahkan menurut estimasi firma Bernstein, jumlah pengguna baru yang mereka dapatkan pada 2020 sudah lebih banyak dari jumlah pengguna baru yang mereka dapat sepanjang tahun 2019.

Tentu saja, Zoom ogah pamer kesuksesan sebab tak ingin dianggap mengambil kesempatan dari kesempitan. Namun, tak dapat dimungkiri bahwa pandemi COVID-19 telah memperluas pangsa pasar aplikasi tersebut. Pada mulanya, Zoom lebih banyak digunakan oleh perusahaan-perusahaan besar yang perlu mengkoordinir pekerjaan lintasbenua dengan skala gede. Akibat pandemi ini, pekerja kantoran biasa, pekerja lepasan, bahkan instansi pemerintahan berbondong-bondong menggunakan Zoom.

Dari situlah masalah dimulai. Meluasnya pangsa pasar dan luapan perhatian publik menelanjangi betapa bobroknya keamanan dalam aplikasi tersebut. Zoom tak hanya dituduh rentan terhadap peretas, terang-terangan berbohong soal fitur keamanannya, serta membocorkan data tanpa seizin pengguna. Perusahaan tersebut dituding punya kedekatan khusus dengan pemerintah Cina, sehingga mengancam keamanan data pemerintah negara-negara adikuasa yang rapat kabinet lewat Zoom.

Bola mulai bergulir beberapa pekan lalu, saat VICE membeberkan bahwa Zoom “membocorkan informasi pribadi” ribuan penggunanya tanpa izin. Akibat kecacatan dalam sistemnya, orang asing dapat mengakses alamat email pribadimu, fotomu, serta memulai video call denganmu sekalipun ia tidak ada dalam buku kontakmu.

Persoalannya adalah pengaturan “Company Directory” dalam Zoom. Melalui pengaturan tersebut, siapa saja yang mendaftar dengan alamat email dari domain sama denganmu akan otomatis masuk ke buku kontakmu. Fitur ini ada karena Zoom awalnya memang dirancang untuk dipakai secara internal di perusahaan gede. Melalui Company Directory, kamu dapat menambahkan orang lain dari domain perusahaan yang sama dengan lebih mudah.

Masalah dimulai ketika jutaan pengguna baru Zoom mendaftar dengan email pribadi, dan sistem Zoom kebingungan membaca informasi tersebut. Pengguna mulai melaporkan bahwa mereka dimasukkan dalam “direktori” yang sama dengan banyak orang yang tidak mereka kenali. Lumayan bila orang-orang asing itu tahu diri dan lekas menghapusmu dari kontak mereka. Jadi masalah besar ketika “direktori” dadakan tersebut disesaki orang-orang iseng, apalagi jahat.

Tak henti di sana, Zoom dituduh lalai melindungi penggunanya yang mendadak bejibun. Akhir bulan lalu (30/3), Kejaksaan Agung New York di AS mengirim surat kepada Zoom yang menuntut mereka mengklarifikasi kebobrokan sistem keamanan mereka. Dalam surat tersebut, Jaksa Agung Letitia James menyampaikan bahwa setelah melalui analisis, perlindungan Zoom tak memadai untuk mencegah “pihak ketiga mengakses webcam pengguna secara diam-diam.”

FBI pun mengumumkan investigasi terhadap maraknya praktik pembajakan video call atau Zoom Bombing. Cara kerjanya begini: rapat daring Zoom dapat diakses siapa saja melalui tautan acak berbasis angka. Mudah saja bagi peretas untuk menebak atau membajak tautan tersebut. 

Bayangkan bila rapat kantor kamu atau sesi nongkrong daring kamu tiba-tiba di-invasi oleh segerombolan peretas dan troll iseng yang meneriakkan ancaman atau kata-kata rasis. Masih mending bila mereka sekadar troll yang menerobos ke rapat kantor biasa. Apa kabar bila video call tersebut adalah rapat kenegaraan atau lembaga pemerintahan, dan pelaku Zoom Bombing adalah mata-mata musuh?

Zoom pun berbohong pada publik soal fitur keamanannya. Mereka mengaku tiap video call dalam aplikasinya dilindungi oleh enkripsi ujung-ke-ujung, sistem yang melindungi kanal komunikasi. Melalui enkripsi tersebut, kunci digital yang membuka-tutup data pengguna hanya tersedia dan disimpan dalam komputer atau ponsel pengguna. Sederhananya, tidak sembarang orang bisa nyelonong masuk dan mengakses percakapan pribadimu.

Menurut penelusuran The Intercept, enkripsi tersebut sesungguhnya tak ada di Zoom. Dalam sistem Zoom, “kunci digital” tersebut diproduksi melalui server Zoom. Imbasnya, audio dan video dari tiap video call serta video conference di Zoom tidak dilindungi dari pihak ketiga. Pasca laporan tersebut, Zoom mengeluarkan rilisan pers yang mengkonfirmasi bahwa aplikasinya “belum mampu” melakukan enkripsi ujung-ke-ujung. Mereka pun meminta maaf karena terang-terangan menyebarkan “informasi yang tak tepat.”

Pada 2019, Zoom kepergok memasang server web rahasia ke gawai-gawai pengguna. Karena server gelap tersebut, seorang pengguna dapat ditambahkan ke sebuah video call tanpa seizin mereka. Bahkan menurut laporan The Guardian, pekan lalu ditemukan bug dalam Zoom yang memudahkan peretas mengambil alih Mac milik pengguna Zoom--termasuk meretas ke webcam dan mikrofon pengguna.

Kami belum selesai. Menurut laporan Motherboard, Zoom diam-diam mengirimkan data penggunanya dari aplikasi iOS ke Facebook untuk keperluan iklan. Data pribadi kamu dibocorkan sekalipun pengguna tersebut tak punya akun Facebook. Hal ini dikarenakan Zoom menggunakan perkakas pengembangan piranti lunak (SDK) Facebook, yang kerap digunakan untuk memudahkan implementasi fitur baru ke aplikasi. 

Risikonya, aplikasi apapun yang memakai SDK Facebook diam-diam mengirim informasi ke Facebook. Zoom mengirim notifikasi ke Facebook tiap kali seorang pengguna membuka aplikasi, dan melempar data seperti jenis gawai pengguna, zona waktu dan kota pengguna, layanan telekomunikasi apa yang mereka pakai, serta informasi pribadi lainnya yang dibutuhkan pengiklan.

Akhirnya, kita tiba pada masalah yang paling menggegerkan. Riset dari Citizen Lab Canada membeberkan bahwa Zoom menyimpan dan mengolah data penggunanya melalui firma serta kantor cabang di Cina. Data yang diolah di Cina termasuk kunci enkripsi yang dapat membuka isi percakapan pengguna, sekalipun pengguna tersebut tidak berada di Cina.

Barangkali kamu bertanya-tanya: memang apa salahnya kalau data Zoom diolah di Cina? Apalagi, mereka juga mengolah data tersebut di pusat data yang tersebar di 13 negara lain seperti Kanada, Brasil, India, dan Australia. Masalahnya begini: bila data Zoom dikirim ke Cina, menurut aturan lokal, mereka bisa saja diwajibkan untuk membuka data tersebut kepada otoritas Cina bila diminta.

Tenang saja, Xi Jinping tidak tertarik dengan isi rapat pribadimu dengan anak-anak kantor. Namun, bisa saja Cina penasaran dengan isi rapat-rapat penting instansi pemerintahan negara saingan seperti AS dan Inggris. Seperti dibeberkan Forbes, lembaga pemerintahan di AS telah menggelontorkan dana 1.3 juta dollar untuk teknologi Zoom tahun ini. 

Selain lembaga penanganan pandemi seperti CDC dan FEMA, Zoom juga banyak dipakai oleh lembaga yang mengurus isi perut pemerintahan AS seperti State Department dan Office of Personnel Management.

Nama yang kami sebut terakhir jadi pamungkas. Office of Personnel Management pernah disorot karena ia dituding jadi korban peretasan Cina. Data pribadi 21 juta penduduk AS dibocorkan dalam skandal peretasan yang bikin malu Washington. Fakta bahwa mereka berbondong-bondong memakai Zoom niscaya bikin Beijing geli-geli keenakan.

Rentetan tuduhan ini jelas bikin Zoom kalang kabut. Beberapa pekan terakhir, mereka menjawab keraguan tersebut satu per satu dalam serangkaian blog post melalui situs resmi mereka. Saking ngerinya tuduhan tersebut, seringkali CEO mereka harus turun tangan secara langsung. Mau tahu versi TL;DR dari semua tanggapan mereka? Maaf, kami ceroboh, kami keteteran.

Melalui blog resmi Zoom pekan lalu (1/4), CEO Zoom Eric S. Yuan menyatakan bahwa Zoom awalnya dirancang untuk perusahaan besar yang punya tim teknologi informasi lengkap. Mereka tidak menyangka bahwa hanya dalam beberapa pekan saja, jutaan orang di dunia akan bekerja, belajar, dan bersosialisasi dari rumah. Sistem mereka tidak siap untuk menanggapi perubahan ini.

Ambil contoh isu pengiriman data ke Cina. Menurut pernyataan resmi Zoom, bocoran data ke Cina itu karena keteledoran semata. “Februari lalu, Zoom meningkatkan kapasitas di wilayah Cina untuk menyesuaikan dengan meningkatnya permintaan pasar,” tulis mereka. “Kami terburu-buru, dan tak sengaja menambahkan dua pusat data Cina.” Dalam proses tersebut, mereka mengaku ceroboh. Protokol keamanan biasa tak ditempuh, dan pertemuan daring dapat terhubung ke sistem di Cina. Padahal, seharusnya tak bisa begitu.

Pada 20 Maret 2020, mereka secara khusus merilis panduan menangkal Zoom Bombing melalui situs resminya. Sepekan kemudian, mereka pun menghapus SDK Facebook yang memungkinkan aplikasi tersebut mengirim data secara diam-diam ke Facebook. Pada 29 Maret, Zoom pun menyangkal bahwa mereka pernah, sedang, dan berencana menjual data pengguna kepada pengiklan.

Namun, akhirnya mereka tunduk kepada tekanan publik. Pada 1 April 2020, Zoom mengumumkan bahwa mereka akan menunda pembaharuan fitur selama 90 hari ke depan. Dalam jangka waktu tersebut, seluruh sumber daya Zoom akan dialihkan untuk memperbaiki masalah keamanan dan privasi.  Zoom pun berjanji akan melibatkan pihak ketiga untuk melakukan ulasan komprehensif terhadap kecacatan keamanannya, serta lebih transparan soal permintaan akses data yang mereka terima dari pemerintah atau aparat.

Tentu saja, kita tak tahu kapan janji-janji manis tersebut akan terlaksana. Selagi menunggu keamanan Zoom sesuai standar, Mozilla Foundation dan Electronic Frontier Foundation memberikan tips-tips untuk menjaga keamanan selama video conference. 

Seorang partisipan video conference dapat menjaga keamanan dengan mematikan video dan suara jika tidak dibutuhkan, mengatur preferensi cookie, mematikan attention tracking, hingga tidak menyebar tautan rapat secara sembrono. 

Adapun host disarankan tidak memakai Meeting ID personal, mengaktifkan fitur Lock Out, mematikan fitur Allow Removed Participants to Rejoin, dan mematikan fitur transfer file guna mencegah penyebaran malware dan virus.

Bila saran tersebut terdengar ribet atau memusingkan, mau tidak mau kamu harus mencari alternatif yang lebih aman ketimbang Zoom. Menulis untuk Forbes, jurnalis keamanan siber Kate O’Flaherty menyarankan kamu memakai aplikasi lain yang sesuai dengan kegunaan. Misalnya Jitsi, Signal, atau FaceTime.

Selagi pandemi tak kunjung reda dan Zoom jadi tumpuan begitu banyak orang, wajar saja bila sistem mereka yang kaku dan keamanan mereka yang buruk dapat sorotan tajam. Seperti kata seorang jago silat sekarat di Kung Fu Hustle: dengan kekuatan yang besar, terdapat tanggungjawab besar pula.

Related Article