Sebuah investigasi terkini terhadap teknologi pengawasan global mengungkapkan sebuah paradoks yang memprihatinkan: perusahaan-perusahaan yang berspesialisasi dalam melacak lokasi dan komunikasi orang justru rentan terhadap kegagalan keamanan yang katastrofik. Penemuan gudang data besar yang berisi jutaan catatan pelacakan telah memaparkan bagaimana infrastruktur telepon usang memungkinkan pengawasan yang meluas, sekaligus menunjukkan bahwa para pengawas tidak dapat mengamankan sistem mereka sendiri dengan baik.
Investigasi ini berfokus pada teknologi pengawasan yang mengeksploitasi kerentanan dalam SS7 (Signaling System 7), protokol berusia puluhan tahun yang menjadi tulang punggung jaringan telepon global. Yang membuat cerita ini sangat menarik adalah diskusi komunitas tentang kerentanan teknis dan juga kelalaian keamanan yang ironis oleh perusahaan-perusahaan yang justru mengambil untung dari kegiatan pengawasan.
Krisis Keamanan SS7
Di jantung kemampuan pengawasan ini terletak SS7, sebuah protokol yang dirancang pada tahun 1970-an yang masih menangani fungsi fundamental jaringan telepon global. Kelemahan kritis sistem ini adalah bahwa jaringan memproses perintah dari jaringan lain tanpa verifikasi yang tepat tentang siapa yang mengirimkannya dan untuk tujuan apa. Hal ini menciptakan apa yang digambarkan oleh seorang komentator sebagai sistem yang sepenuhnya terbuka di mana perusahaan pengawasan dapat membeli akses dengan harga di bawah 20.000-50.000 dolar AS.
Jaringan telepon perlu mengetahui di mana pengguna berada untuk merutekan pesan teks dan panggilan telepon. Operator bertukar pesan pensinyalan untuk meminta, dan menanggapi dengan, informasi lokasi pengguna. Keberadaan pesan pensinyalan ini sendiri bukanlah kerentanan. Masalahnya justru bahwa jaringan memproses perintah, seperti permintaan lokasi, dari jaringan lain, tanpa dapat memverifikasi siapa sebenarnya yang mengirimkannya dan untuk tujuan apa.
Komunitas teknis mencatat bahwa ini bukan hanya tentang mengeksploitasi kerentanan - ini tentang akses sah ke sistem yang rusak. Perusahaan keamanan siber menggunakan metode yang sama untuk pengujian penetrasi yang digunakan firma pengawasan untuk melacak target. Sistem SS7 memungkinkan pelacakan lokasi jarak jauh tanpa akses fisik ke perangkat target, dan memungkinkan penyadapan SMS termasuk kode verifikasi yang digunakan oleh layanan seperti WhatsApp.
Metode Pengawasan SS7:
- Pelacakan lokasi melalui pesan sinyal jaringan
- Penyadapan SMS termasuk kode verifikasi
- Operasi jarak jauh yang tidak memerlukan akses fisik ke perangkat target
- Estimasi biaya akses: $20.000-50.000 USD
Kegagalan Keamanan Perusahaan Pengawasan Sendiri
Dalam sebuah ironi yang mengejutkan, perusahaan-perusahaan pengawasan itu sendiri mengalami kebocoran data besar-besaran. Diskusi komunitas menunjukkan bahwa arsip berisi 15 juta catatan yang berisi data pelacakan orang-orang di lebih dari 100 negara mungkin berasal dari S3 bucket yang terbuka - sebuah kesalahan konfigurasi penyimpanan cloud dasar yang membuat data pengawasan sensitif terbuka ke internet.
Ini bukan pertama kalinya perusahaan pengawasan atau keamanan mengalami kelalaian keamanan yang amatir. Para komentator mencatat paralelnya dengan kebocoran komunikasi pemerintah sebelumnya, yang menunjukkan bahwa tim teknis yang sangat terspesialisasi mungkin kurang memiliki keahlian keamanan yang lebih luas. Seperti yang diungkapkan seorang pengamat, para phreaker spesialis mungkin tidak memiliki pengalaman dengan administrasi cloud dan menggunakan copypasta dari jawaban Stack Overflow untuk menangani infrastruktur yang mereka anggap membosankan.
Skala Kebocoran Data:
- 15 juta catatan terekspos
- 14.000+ nomor telepon unik
- Target di 100+ negara
- Dugaan penyebab: Kesalahan konfigurasi penyimpanan cloud (bucket S3)
Implikasi Praktis untuk Keamanan Pribadi
Diskusi komunitas mengungkapkan beberapa dampak di dunia nyata yang mengkhawatirkan. Bank dan lembaga keuangan terus mengandalkan autentikasi dua faktor berbasis SMS meskipun ada kerentanan SS7, membuat akun rentan terhadap pengambilalihan. Sementara itu, orang biasa yang sedang berlibur - seperti Sophia yang berjalan di dekat pantai Goa yang disebutkan dalam artikel asli - dapat dilacak dari mana saja di dunia tanpa sepengetahuan mereka.
Ada pertahanan praktis yang tersedia. Bagi pengguna WhatsApp, menyetel PIN di pengaturan mencegah penyadapan kode verifikasi SMS untuk membahayakan akun. Metode serangan ini juga memiliki efek samping yang dapat dideteksi - metode ini merusak kemampuan telepon target yang ada untuk menerima pesan WhatsApp, memberikan tanda peringatan. Beberapa negara telah menerapkan keamanan perbankan yang lebih kuat yang mengaitkan aplikasi ke perangkat keras perangkat tertentu daripada mengandalkan sistem SMS yang rentan saja.
Langkah-Langkah Perlindungan:
- WhatsApp: Aktifkan PIN di pengaturan untuk mencegah pengambilalihan akun
- Perbankan: Gunakan autentikasi berbasis perangkat keras alih-alih SMS 2FA
- Deteksi: Waspadai kegagalan mendadak dalam menerima pesan
- Beberapa negara menerapkan pengikatan IMEI/SIM untuk aplikasi perbankan
Kelambanan Regulasi dan Masalah Sistemik
Mungkin yang paling memprihatinkan adalah stagnasi regulasi dalam memperbaiki kerentanan SS7. Para komentator menunjuk pada laporan tahun 2019 yang menunjukkan bahwa regulator AS menunda-nunda penyelesaian kerentanan keamanan SS7 dan berulang kali mengabaikan masukan dari pakar teknis DHS, dan malah mengandalkan kepatuhan sukarela dari perusahaan telekomunikasi.
Diskusi komunitas menyoroti bagaimana hal ini menciptakan badai sempurna: infrastruktur usang dengan kerentanan yang diketahui, perusahaan pengawasan yang mengeksploitasi kerentanan ini, tanggapan regulasi yang tidak memadai, dan ketergantungan berkelanjutan pada metode keamanan yang rusak oleh lembaga-lembaga besar. Sementara itu, industri pengawasan itu sendiri menunjukkan bahwa mereka tidak dapat mengamankan data yang mereka kumpulkan tentang orang lain dengan baik.
Situasi ini mengungkapkan kebenaran mendasar tentang pengawasan modern: alat untuk melacak orang biasa ternyata mudah diakses secara mengejutkan dan sekaligus sangat rentan. Seperti yang jelas terlihat dalam diskusi komunitas, sampai masalah infrastruktur yang mendasarinya ditangani, privasi dan keamanan akan tetap terganggu untuk semua orang.
Referensi: SURVEILLANCE SECRETS