Dalam sebuah insiden besar yang mengerikan di dunia keamanan siber, platform video chat acak FTF Live diduga telah kompromi jutaan penggunanya akibat kesalahan konfigurasi. Kebocoran ini secara efektif mengekspos informasi dari sekitar 3,47 juta pengguna yang bisa dikenali di 22 juta sesi, berkat dashboard Kibana yang dapat diakses secara terbuka yang ditemukan oleh para peneliti keamanan, dan kemudian dilaporkan kepada pemilik perusahaan.
Kebocoran ini menghasilkan akses ke sejumlah besar metadata pengguna yang sangat sensitif. Hal ini membuat pengguna terkena dampak serius terkait identitas, lokasi, dan informasi pembayaran mereka. Pengguna yang termasuk dalam komunitas rentan, seperti LGBTQ+ di luar negeri, atau mereka yang terlibat dalam percakapan sensitif, bahkan anak di bawah umur, bisa menjadi sasaran.
Kelemahan Keamanan yang Signifikan
Kebocoran ini tidak hanya mencakup metadata, tetapi juga log backend layanan. Semua ini tak lepas dari keberadaan instansi Dozzle, sebuah alat penampil log berbasis browser yang tidak aman, yang memberikan pandangan menyeluruh tentang bagaimana layanan ini beroperasi. Log ini juga mengungkapkan kata sandi dalam teks biasa, token sesi, hingga permintaan API internal.
Peneliti dari Cybernews menjelaskan, “Kombinasi antara Kibana publik dan instansi Dozzle publik menciptakan risiko keamanan yang sangat besar.” Mereka sudah berupaya untuk menghubungi perusahaan terkait dengan seriusnya temuan ini. Namun, saat dijangkau, perusahaan yang mengelola FTF Live tetap bungkam, meskipun berusaha untuk menavigasi struktur kepemilikan yang kompleks yang mengangkat kekhawatiran transparansi.
Aplikasi Android yang sudah dihapus itu dipublikasikan di bawah nama ‘Burhan LTD’, sementara kebijakan privasi di situs web mengidentifikasi pemiliknya sebagai Cooy Ads Ltd yang berbasis di Siprus. Namun, pengendali data, dukungan pelanggan, dan branding tampaknya berada di bawah nama Pixover. Ini bikin semakin gelap soal siapa sebenarnya yang bertanggung jawab di balik platform ini.
Ketiadaan respons dari perusahaan semakin membuat para peneliti khawatir, terutama mengingat potensi dampak dari kebocoran ini, jumlah catatan yang mungkin terpapar, serta durasi ekspos publik yang belum bisa dipastikan. “Kebocoran ini mengubah apa yang banyak orang anggap interaksi anonim dan sementara menjadi jejak data yang sangat bisa dilacak,” tambah para peneliti. Masalah-masalah itu termasuk kompromi akun, penipuan yang ditargetkan, hingga pengintaian oleh pihak yang berniat jahat.
Penting untuk dicatat bahwa tidak ada percakapan video mentah yang tampak terungkap dalam kebocoran ini, namun insiden ini tetap memungkinkan pengguna untuk dilacak, diidentifikasi, dan dipantau oleh pihak ketiga dengan akses ke informasi tersebut. Ini menandai sebuah pelanggaran serius dan tingkat ketidakpedulian yang mengkhawatirkan dari pemilik situs web, yang diakui oleh para peneliti sebagai masalah yang lebih besar di industri komunikasi “anonim” saat ini.
Keamanan data semakin penting di era digital ini, dan kejadian ini menjadi pengingat akan konsekuensi nyata dari kelalaian dalam menjaga privasi pengguna. Bagaimana dengan platform lain yang mengklaim menjaga keamanan dan privasi penggunanya? Sudah saatnya kita lebih bijaksana dan kritis dalam memilih layanan yang kita gunakan.
