Seorang peneliti keamanan telah mengungkap kerentanan serius dalam aplikasi kencan remaja bernama Pandu yang mengekspos data pribadi hampir 1.000 anak di bawah 18 tahun. Aplikasi ini, yang lolos dari proses review App Store Apple, mengandung beberapa celah keamanan kritis yang membuat lokasi, foto, dan informasi pribadi pengguna terekspos sepenuhnya.
Kerentanan Keamanan yang Ditemukan:
- API key yang dikodekan langsung dalam source code
- Database terbuka tanpa memerlukan autentikasi
- Lokasi pengguna, foto, dan data pribadi yang terekspos
- Hampir 1.000 anak di bawah 18 tahun terdampak
- Pelacakan lokasi real-time dapat diakses oleh siapa saja
Proses Penemuan
Investigasi dimulai ketika peneliti keamanan coal320 bertemu dengan pembuat aplikasi di sebuah acara hackathon. Apa yang awalnya dimulai sebagai rasa penasaran tentang aplikasi yang dihasilkan AI dengan cepat berubah menjadi audit keamanan yang mengkhawatirkan. Peneliti menemukan bahwa kode sumber aplikasi mengandung API keys hardcoded dan kredensial database, membuat siapa pun dapat dengan mudah mengakses sistem backend.
Penemuan yang paling mengkhawatirkan adalah bahwa database aplikasi tidak memiliki pembatasan keamanan sama sekali. Siapa pun dengan pengetahuan teknis dasar dapat mengakses, memodifikasi, atau menghapus data pengguna tanpa autentikasi apa pun. Ini berarti lokasi real-time anak-anak, foto pribadi, dan informasi profil pada dasarnya bersifat publik.
Detail Teknis:
- Aplikasi dibangun menggunakan tools AI ( Cursor , Claude )
- Menggunakan Supabase sebagai database backend
- Berisi API keys OpenAI dalam bentuk plain text
- Source code tersedia melalui metode ekstraksi sederhana
- Tidak ada pembatasan keamanan pada query database
Respons Komunitas dan Pengungkapan yang Bertanggung Jawab
Reaksi komunitas teknologi beragam, dengan banyak yang memuji peneliti karena mengekspos celah kritis ini sementara yang lain mengkritik metode pengungkapan publik. Peneliti mengklaim telah menghubungi pengembang aplikasi terlebih dahulu melalui praktik pengungkapan yang bertanggung jawab, tetapi mendapat sedikit minat untuk memperbaiki masalah tersebut.
Implikasi privasi dari menggunakan perangkat lunak yang dibangun oleh seseorang yang output produktifnya terikat langsung dengan uptime Cursor benar-benar mengerikan.
Beberapa anggota komunitas mempertanyakan apakah menerbitkan instruksi teknis terperinci untuk mengakses kerentanan tersebut sudah tepat, dengan berargumen bahwa hal ini dapat menempatkan anak-anak pada risiko yang lebih besar. Yang lain membela pengungkapan publik sebagai hal yang diperlukan mengingat ketidakmauan pengembang untuk mengatasi masalah keamanan.
Masalah Pengembangan AI yang Lebih Luas
Insiden ini menyoroti kekhawatiran yang berkembang tentang kualitas aplikasi yang dihasilkan AI yang memasuki pasar. Aplikasi ini dilaporkan dibangun menggunakan alat coding AI seperti Cursor dan Claude, dengan pengawasan manusia atau review keamanan yang minimal. Pengembangan cepat yang dimungkinkan oleh alat-alat ini memungkinkan orang dengan pengetahuan pemrograman terbatas untuk membuat dan menerapkan aplikasi tanpa memahami prinsip-prinsip keamanan dasar.
Situasi ini menimbulkan pertanyaan tentang tanggung jawab pengembang dan pengawasan platform. Proses persetujuan App Store Apple gagal menangkap celah keamanan yang jelas ini, meskipun aplikasi dirancang untuk anak di bawah umur dan menangani data lokasi sensitif.
 |
|---|
| Gambar ini merepresentasikan diskusi tentang tanggung jawab dan masalah keamanan dalam aplikasi yang dihasilkan AI, menggemakan kekhawatiran yang muncul dalam kasus Pandu |
Status Terkini dan Implikasi
Pada saat publikasi laporan keamanan ini, aplikasi masih tersedia di App Store. Peneliti telah menawarkan untuk membantu memperbaiki masalah keamanan secara gratis, meskipun tidak jelas apakah pengembang akan menerima bantuan ini. Insiden ini berfungsi sebagai pengingat yang jelas tentang potensi bahaya ketika alat pengembangan bertenaga AI digunakan tanpa pengetahuan keamanan atau pengawasan yang tepat.
Kasus ini juga mendemonstrasikan bagaimana demokratisasi pengembangan aplikasi melalui alat AI dapat menciptakan risiko baru, terutama ketika aplikasi menangani data pengguna sensitif atau menargetkan populasi rentan seperti anak-anak. Tanpa pendidikan keamanan yang tepat dan proses review, alat-alat ini dapat memungkinkan pembuatan aplikasi yang menempatkan pengguna pada risiko serius.
Referensi: JUST FUCKING SHIP IT (sec vibecoding)
 |
|---|
| Gambar ini menunjukkan proses dekripsi yang terkait dengan aplikasi Pandu, mengilustrasikan tantangan teknis yang dibahas dalam mengatasi kelemahan keamanannya |