Data pribadi 1,3 juta pengguna aplikasi percakapan berbasis suara Clubhouse dikabarkan bocor dan telah beredar di forum peretas. Facebook dan LinkedIn juga pernah mengalami kebocoran yang sama.
Berdasarkan laporan dari situs penelitian keamanan siber, Cyber News, data yang diambil dari pengguna Clubhouse berupa nama lengkap pengguna, nama profil, Uniform Resource Locator (URL) foto, jumlah pengikut, jumlah pengguna lain yang diikuti, tanggal pembuatan akun, pengundang dan detail lainnya.
"Data sebanyak 1,3 juta catatan pengguna Clubhouse ini bocor secara gratis di forum peretas populer," kata Cyber News dikutip dari Business Insider pada Minggu (11/4).
Cyber News memang tidak menemukan data yang sangat sensitif seperti detail kartu kredit atau dokumen hukum di arsip yang diposting oleh peretas. Namun, peretas dapat menggabungkan informasi yang didapatnya dalam database Structured Query Language (SQL) untuk membuat profil terperinci.
Dengan begitu, data tersebut bisa digunakan oleh peretas untuk melakukan tindakan kejahatan siber lanjutan melalui skema penipuan (phishing). "Data itu digunakan untuk phishing yang ditargetkan atau jenis serangan manipulasi psikologis lainnya,"
kata Cyber News.
Cyber News mengimbau kepada pengguna Clubhouse untuk memeriksa kebocoran data pribadi. Selain itu, pengguna patut waspada apabila ada pelaku kejahatan siber yang mengaku dari pihak Clubhouse, serta waspada atas permintaan koneksi dari orang asing.
Pengguna juga diimbau untuk menggunakan kata sandi yang aman. Kemudian, mengaktifkan otentikasi dua faktor di semua akun online. Selain itu, pengguna juga diimbau waspada terhadap potensi munculnya email dan pesan teks phishing.
Sedangkan, CEO Clubhouse Paul Davison mengatakan bahwa laporan dari Cyber News itu salah. Menurutnya, Clubhouse sama sekali tidak mengalami kebocoran data. "Tidak, ini laporan menyesatkan dan palsu, kami tidak diretas," ujarnya dikutip dari The Verge pada Minggu (11/4).
Davison mengatakan, data yang dirujuk oleh Cyber News merupakan semua profil publik. Informasi itu bisa diakses siapa saja melalui antarmuka pemrograman aplikasi (Application Programming Interface/API).
Aplikasi Clubhouse memang telah disorot terkait keamanan datanya. Pakar keamanan siber memperhatikan bahwa audio dan metadata ditarik dari Clubhouse ke situs lain selama pekan lalu. “Seorang pengguna menyiapkan cara untuk membagikan login dari jarak jauh ke seluruh dunia,” kata CEO Internet 2.0 Robert Potter dikutip dari Bloomberg, Februari lalu (22/2).
Ia mengatakan, pelaku di balik pencurian audio di Clubhouse tersebut membangun sistem menggunakan perangkat JavaScript. Ini memungkinkan mereka mengompilasi aplikasi.
Direktur Stanford Internet Observatory (SIO) sekaligus mantan kepala keamanan Facebook Alex Stamos juga menilai, Clubhouse tidak dapat menjanjikan privasi atas setiap obrolan.
Alhasil, pengguna aplikasi harus secara sadar menganggap bahwa semua percakapan dapat direkam. Alex menilai, akan menjadi masalah ke depan apabila pengguna mengira percakapan ini pernah bersifat pribadi.
SIO juga khawatir data percakapan suara di Clubhouse dikirim ke server di Negeri Panda. Ini karena infrastruktur back-end perusahaan media sosial itu disediakan oleh perusahaan Tiongkok bernama Agora.
Data-data yang dikirimkan berupa nomor ID pengguna. "Dari data itu, bisa dilihat siapa berbicara dengan siapa," kata SIO dikutip dari The Verge, Februari lalu (14/2).
Meski begitu, Clubhouse telah menambahkan enkripsi dan pemblokiran untuk mencegah klien mengirim data ke server Tiongkok. Pengembang juga menyewa perusahaan keamanan eksternal untuk meninjau dan memvalidasi pembaruan aplikasi.
Disorotnya Clubhouse seiring dengan terus melonjaknya pengguna platform sejak awal tahun ini. Berdasarkan data Sensor Tower, aplikasi ini diunduh lebih dari 14 juta kali.
Padahal, App Annie mencatat, jumlah unduhannya hanya delapan juta per Februari. Ini artinya, Clubhouse diunduh enam juta kali pada Maret atau kurang dari sebulan.
App Annie menilai, lonjakan itu terjadi karena banyaknya tokoh teknologi dunia, publik figur hingga influencer yang menggunakan Clubhouse. Beberapa di antaranya pendiri Tesla Elon Musk, CEO Facebook Mark Zuckerberg, Ashton Kutcher, Kanye West, Drake, Kevin Hart, dan banyak lagi.
Sebelum Clubhouse, Cyber News juga melaporkan bahwa data pribadi 500 juta pengguna LinkedIn telah bocor di forum peretas pada pekan lalu. Adapun data yang bocor itu seperti nama lengkap, alamat e-mail, nomor telepon, hingga informasi pekerjaan pengguna.
Cyber News melaporkan bahwa 500 juta data pengguna LinkedIn itu telah diekstraksi (scraped) oleh pelaku kejahatan siber. Teknik scraping itu menggunakan software otomatis yang kemudian didistribusikan di forum online.
Pekan lalu juga, data pribadi 553 juta pengguna Facebook dikabarkan bocor dan bisa diakses gratis di forum peretas. Pengguna yang datanya bocor tersebar di 106 negara.
Negara yang datanya paling banyak bocor adalah Mesir dengan jumlah 44,8 juta pengguna, Tunisia 39,5 juta, Italia 35,6 juta, kemudian Amerika Serikat (AS), 32,3 juta. Bahkan, ada 130 ribu pengguna juga berasal dari Indonesia.
Data-data yang bocor berupa nomor telepon, ID Facebook, lokasi pengguna, tanggal lahir, pekerjaan, alamat email, hingga status pernikahan.
Ratusan juta data pengguna ini disebarkan oleh seorang pengguna di forum peretas amatir secara gratis. Dengan begitu, pengguna forum itu bisa mengaksesnya secara bebas.