SuaraKita.org – Para peneliti di Inggris telah mendemonstrasikan bahwa Grindr, aplikasi kencan paling populer untuk lelaki gay, terus mengungkapkan data lokasi penggunanya, yang menempatkan mereka dalam risiko penguntit, perampokan dan pemukulan gay.
Firma keamanan cyber, Pen Test Partners mampu menemukan dengan tepat pengguna dari empat aplikasi kencan populer — Grindr, Romeo, Recon, dan situs poliamori 3fun — dan mengatakan 10 juta pengguna potensial berisiko terekspos.
“Tingkat risiko ini meningkat untuk komunitas LGBT yang dapat menggunakan aplikasi ini di negara-negara dengan hak asasi manusia yang buruk di mana mereka dapat ditangkap dan dianiaya,” sebuah unggahan di situs Pen Test Partners memperingatkan.
Sebagian besar pengguna aplikasi kencan mengetahui beberapa informasi lokasi dibuat publik — begitulah cara kerjanya. tetapi Pen Test mengatakan beberapa orang menyadari betapa tepat informasi itu, dan betapa mudahnya memanipulasi.
“Bayangkan seorang lelaki muncul di aplikasi kencan saat ‘200 meter jauhnya’.” Anda dapat menggambar radius 200 meter di sekitar lokasi Anda sendiri di peta dan tahu dia ada di suatu tempat di tepi lingkaran itu. Jika Anda kemudian bergerak menyusuri jalan dan orang yang sama muncul sebagai 350 meter jauhnya, dan Anda bergerak lagi dan dia berjarak 100 meter, Anda kemudian dapat menggambar semua lingkaran ini di peta pada saat yang sama dan di mana mereka berpotongan akan mengungkapkan di mana lelaki itu berada. “
Pen Test dapat menghasilkan hasil tanpa harus pergi keluar — menggunakan akun dummy dan alat untuk memberikan lokasi palsu dan melakukan semua perhitungan secara otomatis.
Didirikan pada 2009, Grindr memiliki lebih dari 3,8 juta pengguna aktif sehari dan lebih dari 24 juta anggota. Awal tahun 2017 Grindr diblokir oleh pemerintah Indonesia, namun sampai saat ini anggota masih dapat menggunakan Grindr di Indonesia dengan memakai VPN.
Grindr menyebut dirinya sebagai “jaringan sosial seluler LGBT terbesar di dunia.” Pen Test menunjukkan bagaimana mereka dapat dengan mudah melacak pengguna Grindr, beberapa di antaranya tidak terbuka tentang orientasi seksual mereka, dengan melakukan trilaterasi lokasi penggunanya . (Digunakan dalam GPS, trilaterasi mirip dengan triangulasi tetapi memperhitungkan ketinggian.)
“Dengan menyediakan lokasi spoof (lintang dan bujur) dimungkinkan untuk mengambil jarak ke profil ini dari beberapa titik, dan kemudian melakukan triangulasi atau trilaterasi data untuk mengembalikan lokasi yang tepat dari orang itu,” jelas mereka.
Seperti yang ditunjukkan oleh para peneliti, di banyak negara bagian Amerika, diidentifikasi sebagai gay dapat berarti kehilangan pekerjaan atau rumah Anda, tanpa bantuan hukum. Di negara-negara seperti Uganda dan Saudi Arabia, ini bisa berarti kekerasan, penjara atau bahkan kematian. (Setidaknya 70 negara mengkriminalkan homoseksualitas, dan polisi diketahui menjebak lelaki gay dengan mendeteksi lokasi mereka di aplikasi seperti Grindr.)
“Dalam pengujian kami, data ini cukup untuk menunjukkan kami menggunakan aplikasi data ini di satu ujung kantor versus yang lain,” tulis para peneliti. Faktanya, smartphone modern mengumpulkan data yang sangat akurat— “8 desimal lintang / bujur dalam beberapa kasus,” kata para peneliti – yang dapat diungkapkan jika server dikompromikan.
Pengembang dan pakar keamanan cyber telah mengetahui tentang cacatnya selama beberapa tahun, tetapi banyak aplikasi belum mengatasi masalah ini: Grindr tidak menanggapi pertanyaan Pen Test tentang bahaya kebocoran lokasi. Tetapi para peneliti menolak klaim aplikasi sebelumnya bahwa lokasi pengguna tidak disimpan “dengan tepat.”
“Kami sama sekali tidak menemukan ini — data lokasi Grindr dapat menunjukkan dengan tepat akun pengujian kami ke sebuah rumah atau bangunan, yaitu persis di mana kami berada saat itu.”
Grindr mengatakan menyembunyikan data lokasi “di negara-negara di mana berbahaya atau ilegal untuk menjadi anggota komunitas LGBT,” dan pengguna di tempat lain selalu memiliki opsi untuk “menyembunyikan informasi jarak mereka dari profil mereka.” Tapi itu bukan pengaturan default. Dan para ilmuwan di Universitas Kyoto menunjukkan pada tahun 2016 bagaimana Anda dapat dengan mudah menemukan pengguna Grindr, bahkan jika mereka menonaktifkan fitur lokasi .
Dari tiga aplikasi lain yang diuji, Romeo mengatakan kepada Pen Test bahwa mereka memiliki fitur yang dapat memindahkan pengguna ke “posisi terdekat” daripada koordinat GPS mereka tetapi, sekali lagi, itu bukan default.
Recon dilaporkan mengatasi masalah ini dengan mengurangi ketepatan data lokasi dan menggunakan fitur snap-to-grid, yang membulatkan lokasi masing-masing pengguna ke pusat jaringan terdekat.
3fun, sementara itu, masih berurusan dengan dampak kebocoran baru-baru ini yang mengungkapkan lokasi anggota, foto, dan detail pribadi — termasuk pengguna yang diidentifikasi berada di Gedung Putih dan gedung Mahkamah Agung.
“Sangat sulit bagi pengguna aplikasi ini untuk mengetahui bagaimana data mereka ditangani dan apakah mereka dapat di-outing menggunakannya,” tulis Pen Test. “Pembuat aplikasi harus berbuat lebih banyak untuk memberi informasi kepada pengguna mereka dan memberi mereka kemampuan untuk mengontrol bagaimana lokasi mereka disimpan dan dilihat.”
Hornet, aplikasi gay populer yang tidak termasuk dalam laporan Pen Test Partner, mengatakan mereka menggunakan “pertahanan teknis canggih” untuk melindungi pengguna, termasuk memantau antarmuka pemrograman aplikasi (API). Di negara-negara tidak ramah LGBT, Hornet menghalangi jebakan berbasis lokasi dengan mengacak profil ketika diurutkan berdasarkan jarak dan menggunakan format snap-to-grid untuk menghindari triangulasi.
“Keselamatan meresapi setiap aspek bisnis kami, baik itu keamanan teknis, perlindungan dari aktor jahat, atau menyediakan sumber daya untuk mendidik pengguna dan pembuat kebijakan,” kata CEO Hornet Christof Wittig. “Kami menggunakan beragam solusi teknis dan berbasis komunitas untuk jutaan pengguna setiap hari, di sekitar 200 negara di seluruh dunia.”
Kekhawatiran tentang kebocoran keamanan di Grindr, khususnya, memuncak pada tahun 2018, ketika terungkap perusahaan membagikan status HIV pengguna kepada vendor pihak ketiga yang menguji kinerja dan fiturnya. Pada tahun yang sama, sebuah aplikasi bernama C*ckblocked memungkinkan anggota Grindr yang memberikan kata sandi mereka untuk melihat siapa yang memblokir mereka. Tetapi itu juga memungkinkan pembuat aplikasi Trever Fade untuk mengakses data lokasi mereka, pesan yang belum dibaca, alamat email dan foto yang dihapus.
Juga pada tahun 2018, perusahaan game yang berbasis di Beijing, Kunlin, menyelesaikan akuisisi Grindr, memimpin Komite Investasi Asing di Amerika Serikat (CFIUS) untuk menentukan bahwa aplikasi yang dimiliki oleh warga negara Cina itu menimbulkan risiko keamanan nasional. Itu terutama karena kekhawatiran akan perlindungan data pribadi, “khususnya mereka yang berada di pemerintahan atau militer.”
Rencana untuk meluncurkan saham kepada publik terganggu, dengan Kunlun sekarang diperkirakan akan menjual Grindr sebagai gantinya. (R.A.W)
Sumber:
