CekFakta #56 Menakar Keamanan Zoom

Reporter:
Editor:

Philipus Parera

  • Font:
  • Ukuran Font: - +
  • Seorang murid mengikuti pelajaran bersama murid-murid lainnya secara daring memanfaatkan Aplikasi Zoom di sebuah rumah di El Masnou, Barcelona sebelah utara, Spanyol, 2 April 2020. Seperti di banyak lokasi di banyak negara lainnya, pembelajaran seperti itu dipilih selama wabah virus corona COVID-19. (ANTARA/ REUTERS/ Albert Gea/TM)

    Seorang murid mengikuti pelajaran bersama murid-murid lainnya secara daring memanfaatkan Aplikasi Zoom di sebuah rumah di El Masnou, Barcelona sebelah utara, Spanyol, 2 April 2020. Seperti di banyak lokasi di banyak negara lainnya, pembelajaran seperti itu dipilih selama wabah virus corona COVID-19. (ANTARA/ REUTERS/ Albert Gea/TM)

    • Popularitas platform konferensi video, terutama Zoom, meningkat seiring dengan diberlakukannya kebijakan work from home atau kerja dari rumah oleh pemerintah. Namun, beberapa waktu terakhir, banyak kritik tajam mengarah kepada Zoom khususnya perihal keamanan, mulai dari soal data pengguna dibagikan ke Facebook hingga Zoom Bombing.
    • Ketika menggunakan layanan konferensi video, kita kerap lupa memperhatikan faktor keamanan. Padahal, tidak semua aplikasi konferensi video yang kita gunakan benar-benar aman dari peretas. Setiap celah keamanan yang muncul pasti akan mereka manfaatkan untuk mencuri data kita. Apa saja yang bisa kita lakukan agar aman dalam konferensi video?

    Halo, pembaca Nawala CekFakta Tempo! Di tengah pandemi Covid-19 ini, manakala Anda diharuskan berada di rumah, apakah Anda menggunakan platform konferensi video? Jika Anda memanfaatkan layanan tersebut, meskipun cuma untuk berbincang santai dengan sahabat-sahabat Anda, jangan pernah lupakan masalah keamanan yang mungkin muncul. Pasalnya, baru-baru ini, mencuat beberapa kasus keamanan yang melibatkan platform konferensi video yang paling populer saat ini, Zoom.

    Apakah Anda menerima nawala edisi 3 April 2020 ini dari teman dan bukan dari email Tempo? Daftarkan surel di sini untuk berlangganan.

    Nawala edisi ini ditulis oleh Angelina Anjar Sawitri dari Tempo Media Lab.

    MENAKAR KEAMANAN ZOOM   

    Kebijakan kerja dari rumah alias work from home yang diterapkan pemerintah guna mengerem penyebaran virus Corona Covid-19, mendorong masyarakat ramai-ramai memakai platform konferensi video untuk bertemu satu sama lain secara virtual. Ada yang memanfaatkannya untuk rapat dengan rekan-rekan sekantor. Ada pula yang menggunakannya untuk sekadar berbincang santai dengan teman terdekat.

    Kondisi ini membuat jumlah unduhan platform konferensi video, mulai dari Google Hangouts Meet, Microsoft Teams, hingga Zoom, meningkat drastis hanya dalam waktu satu minggu. Situs riset aplikasi, App Annie, melaporkan bahwa aplikasi video konferensi diunduh hingga 62 juta kali sepanjang 14-21 Maret 2020. Angka itu naik 45 persen dibandingkan pekan sebelumnya, dan mencatatkan pertumbuhan aplikasi tertinggi di antara semua kategori di toko aplikasi, baik Google Play Store maupun Apple Apps Store.

    Lalu, mana yang paling populer di antara semua aplikasi konferensi video itu? Apa lagi kalau bukan Zoom. Menurut App Annie, Zoom menjadi aplikasi yang paling banyak diunduh selama Februari-Maret. Di Amerika Serikat, Zoom diunduh 14 kali lipat lebih banyak ketimbang rata-rata unduhan per pekan pada kuartal IV 2019. Sementara di Inggris, untuk periode yang sama, Zoom diunduh 20 kali lipat lebih banyak dibanding rata-rata unduhan mingguan tahun lalu. Tren serupa terjadi di Prancis, Jerman, Spanyol, dan Italia.

    Tapi, tahukah Anda jika belakangan ini Zoom mendapatkan banyak kritikan terkait privasi?

    Kasus pertama, Zoom versi iOS mengirim data ke Facebook tanpa sepengetahuan pengguna. Menurut laporan IDN Times pada 28 Maret lalu, data yang dikirimkan oleh Zoom ke Facebook mencakup waktu penggunaan platform, model perangkat, lokasi, nama operator seluler, serta ID khusus pengguna. Padahal pendiri perusahaan pemantau privasi media sosial Privacy Matters, Pat Walshe, mengatakan   hal tersebut tidak tercantum dalam syarat dan ketentuan Zoom versi iOS.

    Apa tanggapan Zoom? Mereka mengakui tindakan itu, akan tetapi menyatakan tidak menjual data penggunanya ke siapa pun. Mereka menyediakan opsi “login with Facebook” menggunakan software development kit (SDK) dari platform media sosial buatan Mark Zuckerberg tersebut. “Tapi kami menyadari baru-baru ini bahwa SDK Facebook itu mengumpulkan data dari perangkat pengguna,” demikian pernyataan resmi Zoom. Mereka pun berjanji akan menghilangkan SDK Facebook tersebut dan mengkonfigurasi ulang fitur login mereka.

    Kasus kedua, baru saja terungkap pada 1 April kemarin. Menurut laporan The Verge, Zoom mengelompokkan kontak dengan domain email yang sama ke “Company Directory” sehingga pengguna bisa mencari kontak pengguna lain yang bekerja di perusahaan yang sama. Masalahnya, menurut laporan Vice, Zoom juga mengelompokkan pengguna yang mendaftar dengan email pribadi. Alhasil, pengguna bisa melihat email dan foto orang-orang yang berada di “Company Directory” yang sama dengan mereka. Padahal, mungkin ska mereka tidak sekantor.

    Merespons masalah ini, Zoom sudah memasukkan domain email tersebut ke daftar hitam. “Dan secara teratur mengidentifikasi domain yang bisa ditambahkan ke sana (daftar hitam),” ujar juru bicara Zoom. Dia juga mengajak pengguna memasukkan domain yang tidak dikenal ke daftar hitam. “Zoom tidak mengelompokkan domain yang digunakan secara umum, termasuk gmail.com, yahoo.com, hotmail.com, dan lain-lain,” katanya.

    Kasus ketiga, dilansir dari laporan The Intercept pada 31 Maret lalu, Zoom menjamin bahwa platformnya aman, “Selama Anda yakin setiap orang dalam meeting Zoom terhubung dengan ‘audio komputer’ alih-alih menelepon dengan ponsel, meeting akan aman dengan end-to-end encryption atau enkripsi ujung-ke-ujung.” Padahal, platform ini sebenarnya tidak mendukung end-to-end encryption, di mana konten hanya diketahui oleh pengirim dan penerima, tanpa intersep siapa pun, termasuk perusahaan.

    Lewat juru bicaranya, Zoom menyatakan bahwa saat ini tidak mungkin perusahaan mengaktifkan end-to-end encryption untuk meeting. Mereka menggunakan transport layer security (TLS) untuk melindungi meeting. Teknologi ini sama dengan yang digunakan dalam keamanan HTTPS. Masalahnya teknologi ini dikenal sebagai transport encryption, berbeda dengan end-to-end encryption. Dia hanya mengenkripsi koneksi antara aplikasi Zoom pada sebuah  komputer atau telepon pintar, dengan cara yang sama seperti enkripsi atas koneksi antara peramban web Anda dengan artikel ini. Artinya, komunikasi aman dari pihak lain yang mencoba menerobos melalui Wi-Fi Anda, tapi Zoom sebagai penyedia layanan bisa mengakses konten video dan audio meeting Zoom tersebut. 

    Menurut Matthew Green, ahli kriptografi sekaligus profesor ilmu komputer di Universitas John Hopkins, konferensi video sulit untuk dienkripsi ujung ke ujung karena penyedia layanan perlu mendeteksi siapa yang berbicara. Terkadang, dalam konferensi video, terdapat lebih dari satu orang yang berbicara bersamaan. “Jika semuanya terenkripsi dari ujung-ke ujung, Anda perlu membuat beberapa mekanisme tambahan untuk memastikan siapa yang berbicara,” tuturnya.

    Selain tiga kasus di atas, terdapat masalah lain yang baru-baru ini juga terjadi pada Zoom. Seorang ahli keamanan menemukan bahwa Zoom bisa terinstal sendiri di komputer Mac tanpa interaksi pengguna. Teknik tanpa interaksi ini biasa digunakan oleh malware di sistem operasi macOS. Terjadi pula Zoom Bombing, yakni serangan yang dilancarkan para hacker untuk membajak meeting Zoom, kemudian mengirim gambar-gambar tidak senonoh ataupun ujaran kebencian disertai ancaman.

    Berbagai isu keamanan yang menerpa Zoom ini mendapatkan perhatian dari bos SpaceX, Elon Musk, kejaksaan agung New York, hingga Biro Investigasi Amerika Serikat atau FBI. Musk telah melarang karyawan SpaceX memakai Zoom. “Silakan gunakan email, teks, atau telepon sebagai alat komunikasi alternatif,” demikian instruksi yang diberikan oleh SpaceX kepada karyawannya.

    Pada 30 Maret lalu, kejaksaan agung New York mengirim surat kepada Zoom yang menanyakan apakah ada langkah-langkah keamanan baru dari perusahaan untuk menangani peningkatan lalu lintas di servernya dan mendeteksi peretas. Sementara itu, FBI membuat peringatan kepada masyarakat mengenai banyaknya hacker yang melakukan Zoom Bombing, salah satunya terhadap meeting Zoom di sebuah sekolah di Massachusetts di mana peretas itu mengirim simbol fasisme. Jadi, apakah Anda akan tetap setia menggunakan Zoom?

    TIPS LINDUNGI KONFERENSI VIDEO  

    Seperti yang telah saya bahas dalam tulisan pertama, sejak diterapkannya kebijakan pembatasan sosial atau social distancing, penggunaan platform konferensi video meningkat tajam. Masalahnya, faktor keamanan kerap luput dari perhatian kita. Padahal, ada banyak celah keamanan yang bisa dimanfaatkan oleh hacker untuk mengeksploitasi berbagai data yang kita bagikan dalam konferensi video. Bagaimana cara melindungi konferensi video kita?

    - Menurut pakar keamanan siber Alfons Tanujaya, ada dua hal yang harus diperhatikan apabila ingin melakukan konferensi video untuk membahas topik yang penting atau rahasia. Pertama, saat konferensi video dilakukan secara real time, data harus tersalur melalui jaringan internet yang sudah diamankan dengan enkripsi. Kedua, data video konferensi tidak disimpan di komputer, melainkan di server yang terlindung dan diamankan dengan multi-factor authentication.

    - Manajer Kaspersky untuk Asia Tenggara, Yeo Siang Tiong, mengatakan bahwa biasanya konferensi video direkam sebagai referensi di masa mendatang. Agar aman, menurut Yeo, perusahaan harus mengunci file rekaman konferensi video tersebut dan mengatur izin khusus terkait siapa yang bisa mengaksesnya. Yeo menuturkan praktik sederhana ini bisa menyelamatkan perusahaan dari kemungkinan intrusi.

    - Pakar keamanan siber ESET, Tony Anscombe, memaparkan sejumlah cara untuk mengatasi risiko keamanan konferensi video. Pertama, terkait kontrol akses, Anscombe mengatakan bahwa sebagian besar platform konferensi video memiliki kemampuan untuk membatasi akses berdasarkan domain sehingga hanya pengguna dengan domain email perusahaan tertentu yang bisa bergabung dengan konferensi tersebut. “Atau, hanya mengizinkan mereka yang diundang yang bisa bergabung, dengan menambahkan email mereka ke undangan saat menjadwalkan konferensi,” ujarnya.

    - Terkait berbagi file, Anscombe menyarankan untuk membatasi jenis file yang dikirim. Misalnya, tidak mengizinkan berbagi file yang dapat dieksekusi (seperti .exe). Dia juga mengingatkan agar pengguna memeriksa kebijakan privasi platform yang digunakan, terutama jika layanan yang diberikan gratis. “Periksa apakah perusahaan mengumpulkan, menjual, atau membagikan data kepada pihak lain untuk mendanai layanan gratis yang Anda gunakan,” ujar Anscombe.

    - Medcom.id juga merangkum sejumlah panduan untuk melindungi konferensi video dari Zoom Bombing. Pertama, jangan pernah membagikan tautan meeting Zoom di media sosial. Kedua, hanya mengizinkan pengguna yang memiliki akun Zoom yang bisa bergabung. Ketiga, kunci meeting Zoom. Keempat, pakai fitur Waiting Room.Dan kelima, matikan fitur berbagi layar atau Share Screen.

    - Perusahaan platform konferensi video Highfive membagikan beberapa contoh kebijakan yang bisa diterapkan perusahaan ketika menggelar konferensi video dengan karyawan. Beberapa di antaranya adalah seseorang yang ingin merekam konferensi video harus mendapatkan izin dari semua peserta konferensi, perangkat seluler pribadi tidak boleh digunakan untuk merekam konferensi video, kamera harus fokus pada wajah peserta konferensi sehingga data rahasia apapun yang berada di sekitarnya tidak terlihat, serta mikrofon harus dimatikan saat tidak digunakan.

    WAKTUNYA TRIVIA! 

    Berikut beberapa kabar tentang misinformasi dan disinformasi, keamanan siber, serta privasi data pekan ini, yang mungkin terselip dari perhatian. Kami mengumpulkannya untuk Anda.

    - Kementerian Komunikasi dan Informatika meluncurkan aplikasi PeduliLindungi untuk melacak penyebaran virus Corona Covid-19. Mula-mula, aplikasi ini akan mengumpulkan data dari ponsel pengguna sembari mengaktifkan koneksi bluetooth. Ketika ada ponsel lain dalam jangkauan bluetooth yang juga terdaftar dalam aplikasi PeduliLindungi, terjadi pertukaran informasi yang direkam oleh masing-masing perangkat. Selanjutnya, aplikasi ini akan mengidentifikasi orang-orang yang pernah berada dalam jarak dekat dengan orang yang positif Covid-19, pasien dalam pengawasan (PDP), atau orang dalam pemantauan (ODP).

    - Mahasiswa Universitas Indonesia (UI) mengembangkan platform asesmen risiko Covid-19 yang bernama EndCorona. Platform yang berbentuk aplikasi ini memungkinkan pengguna menilai kerentanan dirinya terhadap Covid-19, yang hasilnya terbagi dalam empat kategori yakni: risiko rendah, hati-hati, rentan, dan sangat rentan. Universitas Gadjah Mada (UGM) pun tengah mengembangkan sistem bernama Covid-19 Tracing and People Mobile Analysis. Sistem ini diklaim dapat melacak pasien positif Covid-19, PDP, atau ODP berdasarkan data histori lokasi ponsel.

    - Kepolisian Kota Lancaster, Inggris, memperingatkan masyarakat terkait test kit atau alat uji virus Corona Covid-19 palsu yang dijual secara online. Salah satu produk yang didapati palsu berbentuk botol yang dicetak dengan tulisan “Corona Virus 2019nconv (COVID-19)” dan “Virus1 Test Kit”. Menurut Dekan Fakultas Kedokteran UI, Ari Fahrial Syam, alat rapid test yang dijual secara online jumlahnya sekitar 60 macam. Dia pun memperingatkan masyarakat untuk berhati-hati. Pasalnya, jika alat rapid test itu tidak valid, kemudian hasil ujinya negatif, pengguna bakal merasa yakin bahwa dia negatif Covid-19. Padahal, bisa jadi dia sebenarnya positif.

    - Platform pesan instan WhatsApp dilaporkan sedang mempersiapkan sejumlah fitur baru. Salah satu fitur yang sedang digarap akan memungkinkan pengguna memakai satu akun atau nomor di beberapa perangkat. Selama ini, WhatsApp hanya mengizinkan pengguna untuk menggunakan satu akun di satu perangkat. Selain itu, WhatsApp juga sedang mempersiapkan fitur hapus pesan otomatis yang bernama Expiring Message. Dengan fitur ini, pengguna bisa mengatur kapan pesan-pesan lama bisa dihapus secara otomatis oleh sistem.

    - Laporan ArsTechnina menyebutkan lebih dari 4 ribu aplikasi di Google Play diam-diam mengumpulkan daftar semua aplikasi yang terpasang di ponsel pengguna. Data ini memungkinkan pengembang aplikasi tersebut sekaligus pengiklan membuat profil yang rinci tentang pengguna, dengan tingkat akurasi mencapai 70 persen. Profil yang bisa diketahui pengembang dari daftar semua aplikasi itu mencakup jenis kelamin, bahasa sehari-hari, agama, status hubungan, negara asal, bahkan usia, ras, dan juga pendapatan pengguna.

    - Google akhirnya menghapus aplikasi Infowars dari toko aplikasinya, Play Store, pada akhir Maret 2020 lalu. Infowars merupakan situs asal Amerika Serikat yang kerap memuat konten-konten yang berisi teori konspirasi. Infowars dihapus setelah seorang penyebar teori konspirasi, Alex Jones, mengunggah sebuah video berisi hoaks terkait virus Corona Covid-19. Jones menyebarkan hoaks yang, “Membantah bahwa social distancing, tinggal di rumah, dan upaya karantina memang dimaksudkan untuk memperlambat penyebaran virus Corona baru.” Sebelum dihapus, aplikasi Infowars sudah diunduh lebih dari 100 ribu kali.

    PERIKSA FAKTA SEPEKAN INI

    Pada akhir Maret 2020, sebuah video konferensi pers Biro Investigasi Amerika Serikat atau FBI mengenai penangkapan seorang profesor dari Universitas Harvard, Charles Lieber, beredar di media sosial. Dalam konferensi pers itu, FBI juga mengumumkan penangkapan terhadap dua warga negara Cina. Video itu diberi narasi yang mengaitkan penangkapan tersebut dengan pembuatan virus Corona Covid-19.

    Berdasarkan pemeriksaan oleh Tim CekFakta Tempo, narasi itu menyesatkan. Menurut pernyataan resmi Departemen Kehakiman AS pada 28 Januari 2020, Lieber dan dua warga negara Cina itu, Yanqing Ye dan Zaosong Zheng, didakwa dalam tiga kasus yang berbeda. Selain itu, tidak ada satu pun dakwaan yang menyinggung tentang pembuatan virus Corona. Menurut organisasi cek fakta FactCheck, Lieber dikaitkan dengan virus Corona hanya karena kebetulan bekerja di sebuah universitas di Wuhan, kota di Cina tempat virus itu pertama kali muncul. Departemen Kehakiman AS pun telah membantah bahwa mereka mendakwa Lieber atas tuduhan terlibat dalam pembuatan virus Corona. 

    Lieber ditangkap karena, sejak 2011, dia menjadi strategic scientist di Universitas Teknologi Wuhan (WUT) tanpa sepengetahuan pihak Universitas Harvard. WUT menggaji Lieber US$ 50 ribu per bulan dan membiayai kebutuhannya sebesar 1 juta yuan. Pada 2012-2017, Lieber juga menjadi peserta Seribu Talenta Cina, program pemerintah Tiongkok untuk merekrut ahli dari luar negeri dan membawa pengetahuan mereka ke Cina.

    Selain artikel di atas, kami juga melakukan pemeriksaan fakta terhadap beberapa hoaks yang beredar. Buka tautan ke kanal CekFakta Tempo.co untuk membaca hasil periksa fakta berikut:

    Kenal seseorang yang tertarik dengan isu disinformasi? Teruskan nawala ini ke surel mereka. Punya kritik, saran, atau sekadar ingin bertukar gagasan? Layangkan ke sini.

    Ikuti kami di media sosial:

    Facebook

    Twitter

    Instagram


     

     

    Lihat Juga



    Selengkapnya
    Grafis

    Negara-negera yang Sudah Melakukan Vaksinasi Anak di Bawah 12 Tahun

    Di Indonesia, vaksin Covid-19 baru diberikan ke anak usia 12 tahun ke atas. Namun beberapa negara mulai melakukan vaksinasi anak di bawah 12 tahun.