Peneliti Mengungkap Database Stalkerware Masif yang Menargetkan Tokoh Publik

Peneliti keamanan siber Jeremiah Fowler baru-baru ini menemukan database yang tidak terlindungi yang berisi lebih dari 86.000 gambar dan log obrolan pribadi yang dipanen melalui stalkerware. Data tersebut tidak dienkripsi, tidak dilindungi kata sandi, dan sepenuhnya terekspos bagi siapa saja yang tahu ke mana harus mencari. Yang paling mengkhawatirkan: para korban bukanlah orang-orang yang dipilih secara acak. Database tersebut secara khusus menargetkan seorang selebriti Eropa terkenal dan beberapa influencer media sosial, yang mengindikasikan bahwa penggunaan spyware komersial ini dilakukan secara sengaja dan terarah.

Rekaman yang terekspos mencakup komunikasi pribadi yang diambil langsung dari WhatsApp dan Instagram, nomor telepon, serta foto dokumen identitas. Ini bukan kebocoran data biasa di mana kredensial bocor dari server yang kurang aman. Ini adalah pengawasan-sebagai-layanan yang diarahkan kepada orang-orang nyata, dengan detail intim kehidupan mereka tersimpan dalam database yang terbuka.

Apa Itu Stalkerware dan Mengapa Berbeda dari Ancaman Lainnya

Stalkerware mengacu pada perangkat lunak yang dipasang secara diam-diam pada sebuah perangkat, biasanya smartphone, yang secara senyap memantau dan mengirimkan aktivitas pribadi kepada pihak ketiga. Tidak seperti serangan phishing atau malware yang menargetkan kata sandi Anda, stalkerware beroperasi dari dalam perangkat Anda, setelah seseorang mengakses perangkat tersebut secara fisik dan memasang perangkat lunak tanpa sepengetahuan Anda.

Perbedaan ini sangat penting dalam hal cara Anda melindungi diri. Stalkerware melewati sebagian besar pertahanan yang diandalkan orang. Ia tidak perlu mencegat lalu lintas internet Anda. Ia membaca pesan Anda sebelum dienkripsi dan dikirim. Ia menangkap gambar yang tersimpan secara lokal. Ia memanen kontak dan log panggilan. Pada saat data Anda meninggalkan ponsel Anda, pengawasan telah terjadi.

Produk spyware komersial tersedia secara luas, sering kali dipasarkan dengan dalih sebagai alat pemantauan orang tua atau pelacak karyawan. Batas hukum dan etika seputar penggunaannya sangat kabur, sehingga sulit untuk diatur. Dan seperti yang ditunjukkan oleh investigasi ini, operator alat-alat tersebut tidak selalu mengamankan data yang mereka kumpulkan, menciptakan lapisan eksposur kedua bagi para korban yang mungkin bahkan tidak tahu bahwa mereka sedang diawasi.

Mengapa VPN Saja Tidak Bisa Melindungi Anda dari Stalkerware

VPN adalah alat yang ampuh untuk melindungi lalu lintas internet Anda dari pengawasan, terutama di jaringan publik atau dari penyedia layanan internet Anda. VPN mengenkripsi koneksi antara perangkat Anda dan internet, menyembunyikan aktivitas Anda dari pengamat luar. Namun VPN tidak memiliki visibilitas terhadap apa yang terjadi di dalam perangkat Anda sendiri.

Jika stalkerware sudah terpasang di ponsel Anda, VPN tidak bisa menghentikannya. Spyware membaca pesan WhatsApp Anda langsung dari aplikasinya, bukan dari jaringan. Ia mengakses perpustakaan foto Anda tanpa menyentuh koneksi internet Anda. Ia beroperasi di tingkat perangkat, di bawah lapisan tempat VPN memberikan perlindungan apa pun.

Ini tidak membuat VPN menjadi tidak relevan. VPN tetap menjadi bagian penting dari strategi privasi berlapis. Namun VPN hanyalah salah satu alat di antara banyak alat, dan memperlakukannya sebagai solusi lengkap meninggalkan celah signifikan yang diilustrasikan dengan jelas oleh kasus seperti ini.

Apa Artinya Ini bagi Anda

Para korban dalam kasus ini adalah tokoh publik, tetapi ancaman ini tidak eksklusif bagi selebriti atau influencer. Siapa pun yang perangkatnya diakses oleh pasangan, anggota keluarga, majikan, atau kenalan bisa berisiko. Fakta bahwa data yang dipanen dibiarkan dalam database yang tidak aman berarti data tersebut juga terekspos kepada siapa pun di luar operator aslinya, yang memperparah kerugian yang ditimbulkan.

Berikut adalah langkah-langkah konkret yang dapat Anda ambil untuk mengurangi eksposur Anda terhadap stalkerware dan spyware komersial:

  • Audit aplikasi yang terpasang secara berkala. Tinjau setiap aplikasi di ponsel Anda secara periodik, termasuk aplikasi yang tidak Anda pasang sendiri. Stalkerware terkadang menyamar dengan nama-nama generik. Hapus apa pun yang tidak dikenal.
  • Periksa izin perangkat. Di Android maupun iOS, Anda dapat melihat aplikasi mana yang memiliki akses ke kamera, mikrofon, lokasi, dan pesan Anda. Cabut izin yang tidak masuk akal untuk tujuan yang dinyatakan oleh suatu aplikasi.
  • Gunakan pemindai keamanan. Beberapa alat keamanan mobile secara khusus mendeteksi stalkerware. Coalition Against Stalkerware menyimpan daftar sumber daya yang telah terverifikasi.
  • Aktifkan autentikasi dua faktor. Meskipun ini tidak menghentikan spyware di tingkat perangkat, ini membatasi apa yang dapat dilakukan seseorang dengan kredensial Anda jika mereka berhasil memanenya.
  • Amankan akses fisik ke perangkat Anda. Stalkerware hampir selalu memerlukan akses fisik singkat untuk dipasang. Gunakan PIN yang kuat atau kunci biometrik, dan jangan pernah meninggalkan ponsel Anda tanpa pengawasan bersama orang yang tidak sepenuhnya Anda percayai.
  • Perbarui sistem operasi Anda. Pembaruan sering kali menambal kerentanan yang dieksploitasi oleh stalkerware dan perangkat lunak berbahaya lainnya.
  • Pertimbangkan reset pabrik jika Anda mencurigai adanya kompromi. Ini adalah langkah ekstrem, tetapi jika Anda memiliki alasan untuk meyakini stalkerware ada di perangkat Anda dan Anda tidak dapat mengidentifikasinya, reset penuh adalah cara paling andal untuk menghapusnya.

Investigasi Fowler adalah pengingat bahwa ancaman privasi datang dari berbagai arah, bukan hanya dari peretas yang menargetkan akun online Anda. Melindungi diri Anda memerlukan pemikiran tentang siapa yang memiliki akses ke perangkat fisik Anda, bukan hanya siapa yang dapat mencegat lalu lintas jaringan Anda.

Jika Anda khawatir tentang stalkerware di perangkat Anda, mulailah dengan audit aplikasi lengkap hari ini. Alat untuk melindungi diri Anda sudah ada; kuncinya adalah mengetahui ancaman apa yang sebenarnya Anda hadapi.