- Mahasiswa yang dengan iktikad baik memeriksa aplikasi sosial anonim Fizz yang sedang populer di kampus Stanford menemukan akses baca-tulis penuh ke seluruh database serta informasi pengguna dan postingan yang tidak dianonimkan
- Para peneliti mengirimkan laporan pengungkapan kerentanan dan usulan perbaikan, serta menyetujui masa tunda publikasi agar Fizz punya waktu untuk memperbaikinya, tetapi respons berikutnya berubah menjadi ancaman hukum
- Fizz menuntut agar temuan tersebut tidak dipublikasikan, dengan menyebut pelanggaran hukum negara bagian dan federal, tanggung jawab perdata dan pidana, serta kemungkinan 20 tahun penjara
- Para peneliti mendapat perwakilan hukum gratis dari Kurt Opsahl dan Andrew Crocker dari Electronic Frontier Foundation, dan tidak menyerah pada tuntutan untuk diam
- Bahkan untuk riset keamanan beriktikad baik, lebih aman untuk mencatat tujuan, cakupan, dan tindakan; menghindari penyimpanan atau kebocoran data serta manipulasi akun; dan tidak menghadapi ancaman hukum sendirian
Masalah keamanan yang ditemukan di Fizz
- Aplikasi media sosial anonim milik startup mahasiswa Stanford Fizz sedang populer di kampus, dan aplikasi itu mengusung klaim yang mendekati “100% secure”
- Karena ini adalah ruang tempat pengguna memposting cerita sensitif, mahasiswa yang tertarik pada keamanan ingin memastikan apakah informasi tersebut benar-benar aman
- Dalam beberapa jam, mereka berhasil mendapatkan akses baca-tulis penuh ke database Fizz
- Database tersebut menyimpan informasi pengguna dan postingan
- Informasi itu sama sekali belum dianonimkan
- Para peneliti menilai bahwa Fizz hampir tidak memiliki mekanisme perlindungan keamanan
Dari pengungkapan bertanggung jawab menjadi ancaman hukum
- Para peneliti merangkum temuan mereka dalam laporan pengungkapan kerentanan dan mengirimkannya ke Fizz melalui email
- Laporan tersebut mencakup masalah yang ditemukan dan usulan perbaikan, dan mereka terlebih dahulu setuju untuk tidak membicarakannya secara publik sampai tanggal embargo tertentu agar Fizz punya waktu untuk memperbaikinya
- Awalnya Fizz berterima kasih atas laporan itu dan menjawab bahwa perbaikan masalah tersebut adalah prioritas utama, lalu selama beberapa minggu mengirimkan beberapa pembaruan
- Setelah itu sikap mereka berubah, dan mereka mengirim ancaman kepada para peneliti dengan menyebut pelanggaran hukum negara bagian dan federal serta tanggung jawab perdata dan pidana
- Ancaman itu bahkan mencakup kemungkinan 20 tahun penjara
- Inti tuntutannya adalah agar temuan tersebut tidak dipublikasikan
- Strukturnya adalah mereka tidak akan melanjutkan tindakan hukum jika para peneliti setuju untuk diam, dengan tenggat respons 5 hari
- Para peneliti menganggap ini sebagai upaya menakut-nakuti agar mereka bungkam
Dukungan hukum dari EFF dan penyelesaian
- Para peneliti meminta bantuan kepada jaringan mereka, dan dalam beberapa hari terhubung dengan Kurt Opsahl dan Andrew Crocker dari Electronic Frontier Foundation
- Keduanya setuju untuk mewakili para peneliti secara gratis, dan para peneliti menjelaskan proses pengungkapan serta dokumen terkait kepada para pengacara
- Setelah mendapat nasihat hukum, para peneliti memutuskan untuk tidak menyerah pada ancaman Fizz
- Kurt dan Andrew menyusun jawaban untuk dikirim ke Fizz, dan setelah itu tim Fizz meminta pertemuan
- Kedua pihak menyelesaikan situasi tersebut secara damai, dan para peneliti menekan Fizz agar secara proaktif mengungkapkan masalah itu kepada pengguna
- Pada akhirnya Fizz mengungkapkan masalah tersebut kepada pengguna
Prinsip yang perlu dipegang peneliti keamanan
- Jaga agar riset tetap sah dan terdokumentasi
- Sebelum riset, tujuan harus dibuat jelas dan perlu dipastikan tidak melewati batas etis
- Para peneliti tidak menyimpan atau membocorkan data yang dapat diakses
- Mereka tidak memanipulasi akun orang lain dan tidak menimbulkan kerugian
- Semua pekerjaan didokumentasikan secara rinci, dan ini membantu penyusunan laporan pengungkapan kerentanan serta respons hukum
- Diperlukan respons yang tenang
- Sekalipun menerima ancaman hukum, respons harus tetap profesional
- Tujuannya adalah menyelesaikan situasi tanpa memperbesar masalah
- Balasan email yang emosional dapat merusak peluang penyelesaian secara damai
-
Harus mencari pengacara
- Mencoba menangani ancaman hukum sendirian bisa menjadi kesalahan besar
- Fizz tampaknya berharap para peneliti akan secara naif menyerah pada ancaman
- Tidak semua orang bisa mendapat perwakilan gratis dari EFF, tetapi karena sumber daya untuk peneliti keamanan beriktikad baik semakin banyak, sumber daya tersebut perlu dimanfaatkan
1 komentar
Komentar Hacker News
Saya bukan pengacara, tetapi secara profesional tertarik pada area hukum yang aneh ini, dan menurut saya staf pengacara EFF di sini tampaknya membuat klaim yang agak dipaksakan
Fizz adalah aplikasi klien/server, mungkin aplikasi web, dan yang diuji para peneliti adalah perangkat lunak yang berjalan di server Fizz
Setelah menemukan kerentanan, para peneliti menggunakan aktivitas basis data yang mereka peroleh untuk membuat akun admin, dan mereka tidak pernah mendapat izin untuk pengujian ini
Jika fakta-fakta ini benar, kecuali ada hukum California yang tidak saya ketahui—dan meski ada, bukankah itu tetap tidak berarti karena supremasi hukum federal—menurut saya mereka cukup jelas melanggar CFAA, bertentangan dengan argumen dalam jawaban EFF
Namun ada setidaknya tiga faktor yang mengurangi risiko hukum: dari publikasi dan tindakan setelahnya, jelas ini adalah riset keamanan dengan itikad baik sehingga tidak menarik untuk dituntut; tidak jelas juga apakah ada kerugian yang bermakna; dan Fizz kecil serta baru berdiri, jadi tampaknya kecil kemungkinan kasus ini sampai ke perusahaan forensik atau penyelesaian dengan perusahaan asuransi
Selain itu, ancaman pengacara Fizz kepada para peneliti untuk melakukan penuntutan pidana demi mendapatkan konsesi yang bernilai, seperti yang ditunjukkan EFF, merupakan pelanggaran aturan asosiasi pengacara negara bagian
Di sini sepertinya pihak yang baik menang, tetapi saya berhati-hati untuk tidak menggeneralisasi terlalu banyak pelajaran. Jika ini bukan Fizz melainkan fitur sosial Dunder Mifflin Infinity, hasilnya bisa jauh lebih buruk
https://www.justice.gov/opa/pr/department-justice-announces-...
Besaran “kerugian” berada di tangan korban, dan bagi organisasi birokratis besar, hal itu memberi insentif yang terdistorsi untuk memboroskan sumber daya—kecil dari sudut pandang mereka tetapi besar secara nominal—demi menjatuhkan hukuman berat kepada pelaku tidak sempurna yang telah mempermalukan mereka
Bahkan jika langkah seperti itu masih berada dalam batas yang sah, membebankan biayanya kepada orang yang memberi tahu perlunya langkah tersebut juga tidak tepat. Jika mereka mengoperasikan layanan publik dengan kerentanan serius, terlepas dari apakah orang ini bertindak tidak pantas, mereka tetap harus menilai kemungkinan orang lain telah mengeksploitasinya
Penyebab biaya itu adalah tindakan mereka sendiri mengoperasikan layanan yang rentan, dan itu adalah biaya yang seharusnya mereka tanggung setelah layanan berjalan, meskipun mereka menemukan sendiri kerentanannya
Kerugian yang dapat dibebankan kepada terdakwa seharusnya dibatasi pada kerugian yang benar-benar ditimbulkan, misalnya ketika ia menggunakan hak akses untuk memperoleh informasi keuangan pelanggan dan melakukan penipuan kartu kredit
Jika konfigurasi aplikasi begitu buruk sehingga hanya dengan mengikuti protokol Firebase seseorang mendapat izin menulis ke basis data, mudah untuk berargumen bahwa sebenarnya tidak ada langkah keamanan yang dilewati. Karena memang tidak ada langkah keamanan yang bisa dilewati
Saya teringat kasus AT&T yang begitu saja menaruh informasi pelanggan data iPad di halaman web yang tidak terdaftar. Saya tidak ingat hasilnya, tetapi setahu saya saat itu pihak tersebut mencoba mengumpulkan data sebanyak mungkin yang bisa diperoleh, berbeda dengan kasus ini
Di artikel aslinya sepertinya tidak ada “mea culpa”, tetapi meskipun nadanya seperti meme “percaya tidak apa yang mereka coba lakukan?”, saya harap pelajarannya sudah dipetik
Niatnya tampak baik, tetapi mereka tampaknya melanggar hukum dengan cukup jelas
Tahun lalu DOJ memperbarui kebijakan penuntutan CFAA agar tidak menuntut orang yang melakukan “riset keamanan dengan itikad baik” [1]
Karena CFAA terkenal sangat luas cakupannya, kebijakan DOJ masih jauh dari memadai dibandingkan mengubah hukum agar legalitas riset keamanan menjadi lebih jelas
Kebijakan itu masih berisiko berubah di pemerintahan baru, tetapi risikonya lebih kecil dibanding sebelum diformalkan
[1] https://www.justice.gov/opa/pr/department-justice-announces-...
Sulit memahami mengapa, dalam kontrak atau terutama komunikasi hukum yang mengancam, pihak yang menulis hampir tidak menanggung konsekuensi meski tidak menuliskan isi dengan akurat
Saya pernah melihat kalimat seperti “meskipun sebagian dari perjanjian ini tidak sah, bagian lainnya tidak ikut batal” dalam kontrak karyawan. Pemberi kerja ingin menegakkan aturannya sendiri, dan itu sendiri masuk akal, tetapi tidak ada kerugian meski mereka menuliskan hal yang tidak diperbolehkan. Paling-paling pengadilan hanya akan menganggap klausul itu tidak sah
Bebannya ada pada pembaca, dan biasanya pembaca adalah pihak yang jauh lebih lemah
Di sini juga, mengapa perusahaan bisa mengirim surat ancaman seperti “kamu bisa masuk penjara federal 20 tahun karena ini!”? Padahal jelas-jelas salah
Bukankah seharusnya ada beban pada penulis untuk memastikan isinya masuk akal. Kalau itu konyol dan terbukti salah, bukankah seharusnya ada akibat negatif yang lebih besar daripada “oh, anggap saja tidak pernah ada”
Seperti yang Anda katakan, apa yang fundamental ditafsirkan oleh pengadilan
Dalam contoh kontrak karyawan, severability justru melindungi Anda sebagai individu juga. Sebab meski sebagian klausul menjadi tidak sah, kesepakatan lainnya, termasuk klausul yang melindungi Anda, tetap berlaku
Kalau seluruh kontrak batal, Anda harus mulai lagi dari nol tanpa apa pun, dan mungkin bisa kehilangan pekerjaan. Sedikit perlindungan lebih baik daripada nol
Ini mencegah kedua pihak lolos dari seluruh kewajiban hukum karena alasan teknis kecil, atau sengaja memasukkan klausul beracun yang tidak akan lolos peninjauan hukum
Jika sebagian kontrak tidak sah, bagian itu tidak bisa digunakan. Jika ketidaksahan bagian itu mengubah kontrak secara fundamental, seluruh kontrak menjadi tidak sah. Saya tidak tahu apa lagi yang Anda inginkan di sini
Kedengarannya seperti ingin ada respons punitif terhadap penyusunan kontrak yang buruk, tetapi itu tampaknya ide yang cukup buruk karena bisa menimbulkan chilling effect terhadap pembentukan semua hubungan hukum dan bisnis
Pihak yang lebih lemah dan sulit mengakses penyusun hukum yang kuat mungkin akan terkena dampak lebih besar. Jika bahkan menegosiasikan perubahan redaksi kontrak menjadi ladang ranjau tanggung jawab bagi negosiator, bukankah beban tanggung jawab akan makin tidak seimbang bagi pelaku kecil yang berhadapan dengan seluruh tim legal?
Sulit melihat bagaimana dunia yang Anda bayangkan tidak menciptakan risiko lebih besar bagi pihak yang lebih lemah dibandingkan keadaan sekarang
Dalam konteks iktikad baik, hukum dan preseden berubah cepat, kadang bergantung pada keinginan hakim, dan banyak bidang hukum tidak memiliki preseden yang jelas atau memiliki pedoman yang kabur
Dalam kasus seperti itu, severability penting agar seluruh kontrak tidak perlu dinegosiasikan ulang hanya karena satu klausul kecil tidak bertahan di pengadilan
Misalnya, bayangkan kontrak kerja yang memuat klausul non-kompetisi. Perusahaan bisa memakai kontrak yang sama di semua wilayah, dan di negara bagian tempat non-kompetisi ilegal, klausul severability membuat mereka tidak perlu membuat kontrak terpisah untuk tiap yurisdiksi
Jika sebuah negara bagian dulu mengizinkan non-kompetisi lalu mengesahkan undang-undang yang melarangnya, apakah semua kontrak kerja yang memuat klausul non-kompetisi harus tiba-tiba batal? Tentu saja tidak. Itulah fungsi severability
Ancaman dalam tulisan asli juga sulit dipahami tanpa konteks, tetapi bisa saja bunyinya seperti “akses tidak sah ke jaringan komputer kami adalah kejahatan federal berdasarkan undang-undang XYZ dan dapat dikenai hukuman penjara hingga 20 tahun”
Bagi orang awam itu sangat menakutkan, tetapi secara ketat tidak salah, dan kebanyakan pengacara mungkin akan memutar mata dan menganggapnya omong kosong, tetapi jika ditambahi cukup banyak kualifikasi, sulit menentukan di mana garisnya
Pada akhirnya dokumen seperti ini ditulis oleh pengacara dalam bahasa hukum yang tidak dirancang untuk orang biasa. Mengancam mahasiswa seperti ini adalah hal yang buruk, dan pengacara yang menulis serta mengirim surat ini atas nama perusahaan berarti telah memberi nasihat yang sangat buruk kepada perusahaan
Masalah ini bisa diajukan ke asosiasi pengacara, tetapi tampaknya akan sangat sulit menjadikannya kasus yang meyakinkan dalam situasi seperti ini
Inilah salah satu alasan mengapa perundingan kolektif penting. Serikat pekerja mampu membiayai kuasa hukum untuk menghadapi pengacara perusahaan, sedangkan karyawan perorangan sulit melakukannya
Sistem ala Amerika, yaitu “masing-masing menanggung biaya hukumnya sendiri”, membuat korban lebih mudah mengajukan gugatan
Sebaliknya Inggris umumnya memakai pendekatan “pihak yang kalah menanggung biaya hukum kedua belah pihak”, sehingga banyak penggugat enggan menggugat meski mengalami kerugian besar
Kerugian apa yang Anda alami akibat ancaman seperti itu, dan berapa kompensasi yang layak? Berapa biaya menyewa pengacara dan menggugat untuk mendapatkan kompensasi, dan seberapa besar peluang menangnya?
Pihak yang mengirim surat ancaman kemungkinan juga menanyakan jenis pertanyaan yang sama pada dirinya sendiri
Jika terasa tidak adil karena pihak lawan punya lebih banyak sumber daya, itu adalah masalah sosial yang lebih umum. Jika punya banyak uang, Anda punya akses lebih baik ke segala bentuk keadilan
Tulisan ini tampaknya menunjukkan bahwa cara pengungkapan kerentanan ditangani saat ini secara umum telah berubah ke arah yang positif
Pada tahun 90-an, semua perusahaan seperti ini. Perusahaan mengancam akan menggugat, dan pengungkapan itu sendiri terlihat mencurigakan secara hukum. Di forum atau BBS, orang sejak awal membahas apakah aman untuk mengungkapkannya, dan saran seperti akun email anonim pun muncul
Tentu saja sebagian masih ada sampai sekarang. Terutama di perusahaan bergaya lama, atau jika yang terlibat adalah mahasiswa polos seperti di sini, tetapi secara keseluruhan situasinya berubah drastis menjadi lebih mendukung pengungkapan
Sekarang ada perantara khusus yang melindungi identitas peneliti keamanan, perusahaan besar yang mendorong dan memuji pengungkapan, bug bounty enam digit, hingga hukum yang menjadi lebih ramah bagi peneliti keamanan
Bagi penulisnya ini pasti pengalaman yang cukup tidak menyenangkan, tetapi ini pengingat yang baik bahwa dulu situasi seperti ini adalah standar atau bahkan lebih buruk, sementara sekarang sudah cukup jarang terjadi
Karena banyak perusahaan menerima bug bounty dan mendorong aktivitas semacam ini terhadap diri mereka, sayangnya hal itu mengajarkan kepada “anak-anak” bahwa hal seperti ini sepenuhnya legal, bermoral, dan etis
Namun seperti terlihat dalam cerita ini, kenyataannya itu seperti melempar dadu, dan kali ini saja hasilnya berjalan baik
Jika tidak mendapatkan kerja sama dari target melalui program bug bounty yang dinyatakan secara eksplisit, cara seperti email anonim mungkin masih merupakan ide yang lebih baik. Hanya saja itu tidak membantu peneliti keamanan untuk “membangun nama”
Pada dasarnya itu juga berarti mengakui masuk tanpa izin. Analoginya, sama saja seperti masuk lewat pintu yang tidak terkunci lalu sekadar memeriksa apakah bisa melihat isi kulkas
Di pengadilan opini publik, tindakan itu mungkin terlihat membantu mengungkap kebohongan perusahaan, tetapi di pengadilan sungguhan hal itu tidak mengubah fakta bahwa Anda bersalah melakukan kejahatan
Dalam arti itu, ini berbeda dari pembalasan khas ala tahun 90-an. Dari sudut pandang para mahasiswa, ini pasti cukup menakutkan
Saya juga tidak akan mengabaikan kemungkinan campur tangan orang tua yang kaya, meski tentu saja saya tidak tahu apa pun tentang situasi atau pihak-pihaknya
Kisah yang luar biasa. Artikel Stanford Daily memuat salinan surat yang saling dikirim para pengacara, dan isinya cukup keras. Kalau EFF tidak turun tangan, kita tidak akan bisa membacanya
https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
Menurut artikel Stanford Daily, “Saat itu Fizz menggunakan produk database Firestore dari Google untuk menyimpan informasi pengguna, postingan, dan sebagainya… Fizz tidak menetapkan aturan keamanan yang diperlukan, sehingga siapa pun bisa melakukan query langsung ke database… ada akses penuh ke nomor telepon dan/atau alamat email semua pengguna, dan postingan serta upvote dapat ditautkan langsung ke informasi pengenal ini… Selain itu, seluruh database bisa diedit. Siapa pun bisa mengedit postingan, nilai karma, status moderator, dan sebagainya”
Ini benar-benar tidak masuk akal
Karena klien menulis langsung ke database, orang biasanya lupa melakukan pemeriksaan izin, dan mempercayai bahwa klien hanya akan menulis ke objek miliknya sendiri
Dulu saya pernah mengubah nilai pengguna Firebase menjadi
isAdmin=truedan mendapatkan akses admin ke sebuah perusahaan skuter listrik, lalu setelah itu tanpa sengaja menghapus skuter yang sedang saya sewa dari Firebase. Saya tidak tahu apa yang terjadi dengan skuter itu setelahnyaPeta di dalam aplikasi hanya menampilkan lokasi perkiraan, dan pada tingkat zoom tertentu pinnya menghilang
Dengan
mitmproxy, jika request ditulis ulang, filter yang mencegah pengguna di bawah umur mencari pengguna 18+ atau mencegah orang dewasa mencari pengguna di bawah umur juga bisa dilewati, begitu pula filter khusus berbayar seperti lokasi dan gender. Status berbayar tidak diverifikasi di sisi serverSaya membayangkan alat web tempat kita memasukkan app ID dan nilai API yang disertakan di frontend publik, secara opsional juga mendukung session ID agar bisa menangani aplikasi Firestore yang memakai aturan keamanan ringan yang hanya terlihat bagi pengguna login, lalu menerima nama koleksi yang ditemukan dari kode JavaScript untuk dijelajahi
Menariknya, Ashton Cofer dan Teddy Solomon dari Fizz mencoba melakukan pemulihan PR setelah kesalahan mereka terungkap https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
Jawaban mereka lemah, dan setelah itu tampaknya mereka menolak berkomentar tentang insiden ini
Disebutkan, “Fizz menerbitkan pernyataan pada 7 Desember 2021 berjudul ‘Security Improvements Regarding Fizz’, tetapi pada saat artikel ini diterbitkan, halaman tersebut tidak lagi dapat ditemukan di situs web Fizz maupun melalui pencarian Google”
Selain itu, tampaknya besar kemungkinan aplikasi tersebut masih menyimpan informasi identitas pribadi atas aktivitas pengguna yang “anonim”
“Selain itu, kami juga masih belum tahu apakah data kami dianonimkan secara internal. Para pendiri tahun lalu mengatakan kepada The Daily bahwa pengguna dapat diidentifikasi oleh developer, dan kebijakan privasi Fizz masih mengisyaratkan hal yang sama”
Di sini, “developer” bisa saja mencakup para pendiri yang menolak berkomentar tentang masalah ini, menghapus komunikasi terkait dari perusahaan, dan pada awalnya memasarkan ember yang benar-benar bocor itu sebagai “aplikasi media sosial 100% aman” lalu, setelah ketahuan, memanfaatkan ancaman hukum
Saya sama sekali tidak tertarik memasukkan informasi saya ke Fizz
Mengapa ancaman hukum bisa dilakukan lalu konsekuensinya dihindari, tetapi jika mengancam dengan kekerasan fisik orang bisa masuk penjara?
Mengancam akan melakukan tindakan yang legal pada umumnya legal. Misalnya, mengancam akan melapor ke pihak berwenang bukanlah hal ilegal
“Di ujung ancaman itu ada tuntutan: jangan pernah membicarakan temuan itu secara publik. Pada dasarnya, jika setuju untuk diam, mereka tidak akan menempuh langkah hukum”
Secara hukum, apakah tuntutan seperti ini bisa sampai menghalangi percakapan dengan jaksa negara bagian atau polisi?
Jika mereka mengklaim “100% aman” padahal sebenarnya tidak aman, dan tahu bahwa pengguna tidak mendapat perlindungan apa pun dari pengintaian oleh perusahaan atau setidaknya hacker yang cukup kompeten, itu setidaknya penipuan, dan lebih mendekati penyadapan pidana. Karena mereka sengaja menipu pengguna agar percaya bahwa layanan itu “100% aman” dan menceritakan rahasia mereka ke layanan tersebut
Bahwa hal ini berakhir “baik-baik” sejujurnya adalah kegagalan keadilan. Tim Fizz seharusnya menghadapi tuduhan penipuan
Di AS, perusahaan lebih dipentingkan daripada warga. Iklan di AS penuh dengan klaim palsu
Kita mengabaikannya dengan berpura-pura bahwa kata-kata tidak punya makna
Menarik. Di kampus kami juga ada platform yang sangat mirip bernama SideChat, dan sepertinya tidak akan jauh berbeda
Tahun lalu saya diblokir permanen karena mempertanyakan validitas “terapi afirmasi gender”, jadi saya jadi penasaran seberapa banyak yang mereka ketahui tentang saya
Dari sisi jurnalisme, bagus bahwa mereka secara terbuka menunjuk Fizz. “Fizz tidak melindungi data pengguna. Lalu apa yang terjadi?”
Ini bukan soal “siapa yang meretas”, melainkan Fizz gagal melakukan apa yang mereka janjikan
Saya masih penasaran apakah sudah diuji bahwa kerentanannya benar-benar diperbaiki
Namun data pengguna tampaknya sebelumnya tidak benar-benar dianonimkan secara internal seperti yang pernah mereka klaim