2 poin oleh GN⁺ 2023-08-29 | 1 komentar | Bagikan ke WhatsApp
  • Mahasiswa yang dengan iktikad baik memeriksa aplikasi sosial anonim Fizz yang sedang populer di kampus Stanford menemukan akses baca-tulis penuh ke seluruh database serta informasi pengguna dan postingan yang tidak dianonimkan
  • Para peneliti mengirimkan laporan pengungkapan kerentanan dan usulan perbaikan, serta menyetujui masa tunda publikasi agar Fizz punya waktu untuk memperbaikinya, tetapi respons berikutnya berubah menjadi ancaman hukum
  • Fizz menuntut agar temuan tersebut tidak dipublikasikan, dengan menyebut pelanggaran hukum negara bagian dan federal, tanggung jawab perdata dan pidana, serta kemungkinan 20 tahun penjara
  • Para peneliti mendapat perwakilan hukum gratis dari Kurt Opsahl dan Andrew Crocker dari Electronic Frontier Foundation, dan tidak menyerah pada tuntutan untuk diam
  • Bahkan untuk riset keamanan beriktikad baik, lebih aman untuk mencatat tujuan, cakupan, dan tindakan; menghindari penyimpanan atau kebocoran data serta manipulasi akun; dan tidak menghadapi ancaman hukum sendirian

Masalah keamanan yang ditemukan di Fizz

  • Aplikasi media sosial anonim milik startup mahasiswa Stanford Fizz sedang populer di kampus, dan aplikasi itu mengusung klaim yang mendekati “100% secure”
  • Karena ini adalah ruang tempat pengguna memposting cerita sensitif, mahasiswa yang tertarik pada keamanan ingin memastikan apakah informasi tersebut benar-benar aman
  • Dalam beberapa jam, mereka berhasil mendapatkan akses baca-tulis penuh ke database Fizz
    • Database tersebut menyimpan informasi pengguna dan postingan
    • Informasi itu sama sekali belum dianonimkan
  • Para peneliti menilai bahwa Fizz hampir tidak memiliki mekanisme perlindungan keamanan

Dari pengungkapan bertanggung jawab menjadi ancaman hukum

  • Para peneliti merangkum temuan mereka dalam laporan pengungkapan kerentanan dan mengirimkannya ke Fizz melalui email
  • Laporan tersebut mencakup masalah yang ditemukan dan usulan perbaikan, dan mereka terlebih dahulu setuju untuk tidak membicarakannya secara publik sampai tanggal embargo tertentu agar Fizz punya waktu untuk memperbaikinya
  • Awalnya Fizz berterima kasih atas laporan itu dan menjawab bahwa perbaikan masalah tersebut adalah prioritas utama, lalu selama beberapa minggu mengirimkan beberapa pembaruan
  • Setelah itu sikap mereka berubah, dan mereka mengirim ancaman kepada para peneliti dengan menyebut pelanggaran hukum negara bagian dan federal serta tanggung jawab perdata dan pidana
    • Ancaman itu bahkan mencakup kemungkinan 20 tahun penjara
    • Inti tuntutannya adalah agar temuan tersebut tidak dipublikasikan
    • Strukturnya adalah mereka tidak akan melanjutkan tindakan hukum jika para peneliti setuju untuk diam, dengan tenggat respons 5 hari
  • Para peneliti menganggap ini sebagai upaya menakut-nakuti agar mereka bungkam

Dukungan hukum dari EFF dan penyelesaian

  • Para peneliti meminta bantuan kepada jaringan mereka, dan dalam beberapa hari terhubung dengan Kurt Opsahl dan Andrew Crocker dari Electronic Frontier Foundation
  • Keduanya setuju untuk mewakili para peneliti secara gratis, dan para peneliti menjelaskan proses pengungkapan serta dokumen terkait kepada para pengacara
  • Setelah mendapat nasihat hukum, para peneliti memutuskan untuk tidak menyerah pada ancaman Fizz
  • Kurt dan Andrew menyusun jawaban untuk dikirim ke Fizz, dan setelah itu tim Fizz meminta pertemuan
  • Kedua pihak menyelesaikan situasi tersebut secara damai, dan para peneliti menekan Fizz agar secara proaktif mengungkapkan masalah itu kepada pengguna
  • Pada akhirnya Fizz mengungkapkan masalah tersebut kepada pengguna

Prinsip yang perlu dipegang peneliti keamanan

  • Jaga agar riset tetap sah dan terdokumentasi
    • Sebelum riset, tujuan harus dibuat jelas dan perlu dipastikan tidak melewati batas etis
    • Para peneliti tidak menyimpan atau membocorkan data yang dapat diakses
    • Mereka tidak memanipulasi akun orang lain dan tidak menimbulkan kerugian
    • Semua pekerjaan didokumentasikan secara rinci, dan ini membantu penyusunan laporan pengungkapan kerentanan serta respons hukum
  • Diperlukan respons yang tenang
    • Sekalipun menerima ancaman hukum, respons harus tetap profesional
    • Tujuannya adalah menyelesaikan situasi tanpa memperbesar masalah
    • Balasan email yang emosional dapat merusak peluang penyelesaian secara damai
  • Harus mencari pengacara

    • Mencoba menangani ancaman hukum sendirian bisa menjadi kesalahan besar
    • Fizz tampaknya berharap para peneliti akan secara naif menyerah pada ancaman
    • Tidak semua orang bisa mendapat perwakilan gratis dari EFF, tetapi karena sumber daya untuk peneliti keamanan beriktikad baik semakin banyak, sumber daya tersebut perlu dimanfaatkan

1 komentar

 
GN⁺ 2023-08-29
Komentar Hacker News
  • Saya bukan pengacara, tetapi secara profesional tertarik pada area hukum yang aneh ini, dan menurut saya staf pengacara EFF di sini tampaknya membuat klaim yang agak dipaksakan
    Fizz adalah aplikasi klien/server, mungkin aplikasi web, dan yang diuji para peneliti adalah perangkat lunak yang berjalan di server Fizz
    Setelah menemukan kerentanan, para peneliti menggunakan aktivitas basis data yang mereka peroleh untuk membuat akun admin, dan mereka tidak pernah mendapat izin untuk pengujian ini
    Jika fakta-fakta ini benar, kecuali ada hukum California yang tidak saya ketahui—dan meski ada, bukankah itu tetap tidak berarti karena supremasi hukum federal—menurut saya mereka cukup jelas melanggar CFAA, bertentangan dengan argumen dalam jawaban EFF
    Namun ada setidaknya tiga faktor yang mengurangi risiko hukum: dari publikasi dan tindakan setelahnya, jelas ini adalah riset keamanan dengan itikad baik sehingga tidak menarik untuk dituntut; tidak jelas juga apakah ada kerugian yang bermakna; dan Fizz kecil serta baru berdiri, jadi tampaknya kecil kemungkinan kasus ini sampai ke perusahaan forensik atau penyelesaian dengan perusahaan asuransi
    Selain itu, ancaman pengacara Fizz kepada para peneliti untuk melakukan penuntutan pidana demi mendapatkan konsesi yang bernilai, seperti yang ditunjukkan EFF, merupakan pelanggaran aturan asosiasi pengacara negara bagian
    Di sini sepertinya pihak yang baik menang, tetapi saya berhati-hati untuk tidak menggeneralisasi terlalu banyak pelajaran. Jika ini bukan Fizz melainkan fitur sosial Dunder Mifflin Infinity, hasilnya bisa jauh lebih buruk

    • Seperti yang ditunjukkan teman saya, pijakan EFF sebenarnya cukup kuat. Sebab DOJ telah mengeluarkan pernyataan kebijakan bahwa mereka tidak akan menuntut riset keamanan dengan itikad baik
      https://www.justice.gov/opa/pr/department-justice-announces-...
    • Jika mekanismenya adalah “riset keamanan tanpa izin dapat dengan mudah menumpuk kerugian lima hingga enam digit”, maka ini tampak seperti masalah pada hukum yang ada
      Besaran “kerugian” berada di tangan korban, dan bagi organisasi birokratis besar, hal itu memberi insentif yang terdistorsi untuk memboroskan sumber daya—kecil dari sudut pandang mereka tetapi besar secara nominal—demi menjatuhkan hukuman berat kepada pelaku tidak sempurna yang telah mempermalukan mereka
      Bahkan jika langkah seperti itu masih berada dalam batas yang sah, membebankan biayanya kepada orang yang memberi tahu perlunya langkah tersebut juga tidak tepat. Jika mereka mengoperasikan layanan publik dengan kerentanan serius, terlepas dari apakah orang ini bertindak tidak pantas, mereka tetap harus menilai kemungkinan orang lain telah mengeksploitasinya
      Penyebab biaya itu adalah tindakan mereka sendiri mengoperasikan layanan yang rentan, dan itu adalah biaya yang seharusnya mereka tanggung setelah layanan berjalan, meskipun mereka menemukan sendiri kerentanannya
      Kerugian yang dapat dibebankan kepada terdakwa seharusnya dibatasi pada kerugian yang benar-benar ditimbulkan, misalnya ketika ia menggunakan hak akses untuk memperoleh informasi keuangan pelanggan dan melakukan penipuan kartu kredit
    • Menurut saya “cabang” tempat pengacara EFF berpijak pada akhirnya adalah isu yang akan diperdebatkan di pengadilan
      Jika konfigurasi aplikasi begitu buruk sehingga hanya dengan mengikuti protokol Firebase seseorang mendapat izin menulis ke basis data, mudah untuk berargumen bahwa sebenarnya tidak ada langkah keamanan yang dilewati. Karena memang tidak ada langkah keamanan yang bisa dilewati
      Saya teringat kasus AT&T yang begitu saja menaruh informasi pelanggan data iPad di halaman web yang tidak terdaftar. Saya tidak ingat hasilnya, tetapi setahu saya saat itu pihak tersebut mencoba mengumpulkan data sebanyak mungkin yang bisa diperoleh, berbeda dengan kasus ini
    • Analisis yang bagus. Saya benar-benar tidak paham siapa pada tahun 2020-an yang mengira penetration test tanpa diminta adalah tindakan yang waras dan akan disambut baik
      Di artikel aslinya sepertinya tidak ada “mea culpa”, tetapi meskipun nadanya seperti meme “percaya tidak apa yang mereka coba lakukan?”, saya harap pelajarannya sudah dipetik
      Niatnya tampak baik, tetapi mereka tampaknya melanggar hukum dengan cukup jelas
    • Satu catatan penting adalah, meskipun secara teknis ini bisa merupakan pelanggaran CFAA, kemungkinan DOJ benar-benar menuntutnya hampir nol
      Tahun lalu DOJ memperbarui kebijakan penuntutan CFAA agar tidak menuntut orang yang melakukan “riset keamanan dengan itikad baik” [1]
      Karena CFAA terkenal sangat luas cakupannya, kebijakan DOJ masih jauh dari memadai dibandingkan mengubah hukum agar legalitas riset keamanan menjadi lebih jelas
      Kebijakan itu masih berisiko berubah di pemerintahan baru, tetapi risikonya lebih kecil dibanding sebelum diformalkan
      [1] https://www.justice.gov/opa/pr/department-justice-announces-...
  • Sulit memahami mengapa, dalam kontrak atau terutama komunikasi hukum yang mengancam, pihak yang menulis hampir tidak menanggung konsekuensi meski tidak menuliskan isi dengan akurat
    Saya pernah melihat kalimat seperti “meskipun sebagian dari perjanjian ini tidak sah, bagian lainnya tidak ikut batal” dalam kontrak karyawan. Pemberi kerja ingin menegakkan aturannya sendiri, dan itu sendiri masuk akal, tetapi tidak ada kerugian meski mereka menuliskan hal yang tidak diperbolehkan. Paling-paling pengadilan hanya akan menganggap klausul itu tidak sah
    Bebannya ada pada pembaca, dan biasanya pembaca adalah pihak yang jauh lebih lemah
    Di sini juga, mengapa perusahaan bisa mengirim surat ancaman seperti “kamu bisa masuk penjara federal 20 tahun karena ini!”? Padahal jelas-jelas salah
    Bukankah seharusnya ada beban pada penulis untuk memastikan isinya masuk akal. Kalau itu konyol dan terbukti salah, bukankah seharusnya ada akibat negatif yang lebih besar daripada “oh, anggap saja tidak pernah ada”

    • Konsep “meskipun sebagian kontrak tidak sah, sisanya tetap berlaku” disebut severability, ada di hampir semua kontrak, dan biasanya terbatas pada klausul yang tidak fundamental bagi inti kontrak
      Seperti yang Anda katakan, apa yang fundamental ditafsirkan oleh pengadilan
      Dalam contoh kontrak karyawan, severability justru melindungi Anda sebagai individu juga. Sebab meski sebagian klausul menjadi tidak sah, kesepakatan lainnya, termasuk klausul yang melindungi Anda, tetap berlaku
      Kalau seluruh kontrak batal, Anda harus mulai lagi dari nol tanpa apa pun, dan mungkin bisa kehilangan pekerjaan. Sedikit perlindungan lebih baik daripada nol
    • Severability adalah konsep yang memungkinkan bagian lain tetap berlaku meski sebagian kontrak dipotong, selama hal itu tidak mengubah syarat kontrak secara fundamental; konsep ini berasal dari hukum konstitusi untuk mencegah preseden dibatalkan seluruhnya setiap kali ada perkara baru
      Ini mencegah kedua pihak lolos dari seluruh kewajiban hukum karena alasan teknis kecil, atau sengaja memasukkan klausul beracun yang tidak akan lolos peninjauan hukum
      Jika sebagian kontrak tidak sah, bagian itu tidak bisa digunakan. Jika ketidaksahan bagian itu mengubah kontrak secara fundamental, seluruh kontrak menjadi tidak sah. Saya tidak tahu apa lagi yang Anda inginkan di sini
      Kedengarannya seperti ingin ada respons punitif terhadap penyusunan kontrak yang buruk, tetapi itu tampaknya ide yang cukup buruk karena bisa menimbulkan chilling effect terhadap pembentukan semua hubungan hukum dan bisnis
      Pihak yang lebih lemah dan sulit mengakses penyusun hukum yang kuat mungkin akan terkena dampak lebih besar. Jika bahkan menegosiasikan perubahan redaksi kontrak menjadi ladang ranjau tanggung jawab bagi negosiator, bukankah beban tanggung jawab akan makin tidak seimbang bagi pelaku kecil yang berhadapan dengan seluruh tim legal?
      Sulit melihat bagaimana dunia yang Anda bayangkan tidak menciptakan risiko lebih besar bagi pihak yang lebih lemah dibandingkan keadaan sekarang
    • Kasus yang berlebihan jelas ada, tetapi sulit menarik garis yang tegas
      Dalam konteks iktikad baik, hukum dan preseden berubah cepat, kadang bergantung pada keinginan hakim, dan banyak bidang hukum tidak memiliki preseden yang jelas atau memiliki pedoman yang kabur
      Dalam kasus seperti itu, severability penting agar seluruh kontrak tidak perlu dinegosiasikan ulang hanya karena satu klausul kecil tidak bertahan di pengadilan
      Misalnya, bayangkan kontrak kerja yang memuat klausul non-kompetisi. Perusahaan bisa memakai kontrak yang sama di semua wilayah, dan di negara bagian tempat non-kompetisi ilegal, klausul severability membuat mereka tidak perlu membuat kontrak terpisah untuk tiap yurisdiksi
      Jika sebuah negara bagian dulu mengizinkan non-kompetisi lalu mengesahkan undang-undang yang melarangnya, apakah semua kontrak kerja yang memuat klausul non-kompetisi harus tiba-tiba batal? Tentu saja tidak. Itulah fungsi severability
      Ancaman dalam tulisan asli juga sulit dipahami tanpa konteks, tetapi bisa saja bunyinya seperti “akses tidak sah ke jaringan komputer kami adalah kejahatan federal berdasarkan undang-undang XYZ dan dapat dikenai hukuman penjara hingga 20 tahun”
      Bagi orang awam itu sangat menakutkan, tetapi secara ketat tidak salah, dan kebanyakan pengacara mungkin akan memutar mata dan menganggapnya omong kosong, tetapi jika ditambahi cukup banyak kualifikasi, sulit menentukan di mana garisnya
      Pada akhirnya dokumen seperti ini ditulis oleh pengacara dalam bahasa hukum yang tidak dirancang untuk orang biasa. Mengancam mahasiswa seperti ini adalah hal yang buruk, dan pengacara yang menulis serta mengirim surat ini atas nama perusahaan berarti telah memberi nasihat yang sangat buruk kepada perusahaan
      Masalah ini bisa diajukan ke asosiasi pengacara, tetapi tampaknya akan sangat sulit menjadikannya kasus yang meyakinkan dalam situasi seperti ini
      Inilah salah satu alasan mengapa perundingan kolektif penting. Serikat pekerja mampu membiayai kuasa hukum untuk menghadapi pengacara perusahaan, sedangkan karyawan perorangan sulit melakukannya
    • Ini soal keseimbangan antara, di satu sisi, mendorong orang menuntut haknya, dan di sisi lain, menekan pengajuan gugatan yang tidak berdasar
      Sistem ala Amerika, yaitu “masing-masing menanggung biaya hukumnya sendiri”, membuat korban lebih mudah mengajukan gugatan
      Sebaliknya Inggris umumnya memakai pendekatan “pihak yang kalah menanggung biaya hukum kedua belah pihak”, sehingga banyak penggugat enggan menggugat meski mengalami kerugian besar
    • Konsekuensi bisa saja ada, tetapi Anda harus membuktikan bahwa Anda mengalami kerugian
      Kerugian apa yang Anda alami akibat ancaman seperti itu, dan berapa kompensasi yang layak? Berapa biaya menyewa pengacara dan menggugat untuk mendapatkan kompensasi, dan seberapa besar peluang menangnya?
      Pihak yang mengirim surat ancaman kemungkinan juga menanyakan jenis pertanyaan yang sama pada dirinya sendiri
      Jika terasa tidak adil karena pihak lawan punya lebih banyak sumber daya, itu adalah masalah sosial yang lebih umum. Jika punya banyak uang, Anda punya akses lebih baik ke segala bentuk keadilan
  • Tulisan ini tampaknya menunjukkan bahwa cara pengungkapan kerentanan ditangani saat ini secara umum telah berubah ke arah yang positif
    Pada tahun 90-an, semua perusahaan seperti ini. Perusahaan mengancam akan menggugat, dan pengungkapan itu sendiri terlihat mencurigakan secara hukum. Di forum atau BBS, orang sejak awal membahas apakah aman untuk mengungkapkannya, dan saran seperti akun email anonim pun muncul
    Tentu saja sebagian masih ada sampai sekarang. Terutama di perusahaan bergaya lama, atau jika yang terlibat adalah mahasiswa polos seperti di sini, tetapi secara keseluruhan situasinya berubah drastis menjadi lebih mendukung pengungkapan
    Sekarang ada perantara khusus yang melindungi identitas peneliti keamanan, perusahaan besar yang mendorong dan memuji pengungkapan, bug bounty enam digit, hingga hukum yang menjadi lebih ramah bagi peneliti keamanan
    Bagi penulisnya ini pasti pengalaman yang cukup tidak menyenangkan, tetapi ini pengingat yang baik bahwa dulu situasi seperti ini adalah standar atau bahkan lebih buruk, sementara sekarang sudah cukup jarang terjadi

    • Masalahnya, melakukan peretasan semacam ini tanpa izin tetap sepenuhnya ilegal
      Karena banyak perusahaan menerima bug bounty dan mendorong aktivitas semacam ini terhadap diri mereka, sayangnya hal itu mengajarkan kepada “anak-anak” bahwa hal seperti ini sepenuhnya legal, bermoral, dan etis
      Namun seperti terlihat dalam cerita ini, kenyataannya itu seperti melempar dadu, dan kali ini saja hasilnya berjalan baik
      Jika tidak mendapatkan kerja sama dari target melalui program bug bounty yang dinyatakan secara eksplisit, cara seperti email anonim mungkin masih merupakan ide yang lebih baik. Hanya saja itu tidak membantu peneliti keamanan untuk “membangun nama”
      Pada dasarnya itu juga berarti mengakui masuk tanpa izin. Analoginya, sama saja seperti masuk lewat pintu yang tidak terkunci lalu sekadar memeriksa apakah bisa melihat isi kulkas
      Di pengadilan opini publik, tindakan itu mungkin terlihat membantu mengungkap kebohongan perusahaan, tetapi di pengadilan sungguhan hal itu tidak mengubah fakta bahwa Anda bersalah melakukan kejahatan
    • Sepertinya para mahasiswa itu juga sedang mencoba melindungi karier masa depan mereka. Semacam “kalau masalah ini tidak diselesaikan diam-diam…”, apalagi jika masalahnya sudah cepat diperbaiki
      Dalam arti itu, ini berbeda dari pembalasan khas ala tahun 90-an. Dari sudut pandang para mahasiswa, ini pasti cukup menakutkan
      Saya juga tidak akan mengabaikan kemungkinan campur tangan orang tua yang kaya, meski tentu saja saya tidak tahu apa pun tentang situasi atau pihak-pihaknya
    • Cara seperti akun email anonim masih menjadi jalan yang sebaiknya ditempuh di banyak negara Barat
  • Kisah yang luar biasa. Artikel Stanford Daily memuat salinan surat yang saling dikirim para pengacara, dan isinya cukup keras. Kalau EFF tidak turun tangan, kita tidak akan bisa membacanya
    https://stanforddaily.com/2022/11/01/opinion-fizz-previously...

  • Menurut artikel Stanford Daily, “Saat itu Fizz menggunakan produk database Firestore dari Google untuk menyimpan informasi pengguna, postingan, dan sebagainya… Fizz tidak menetapkan aturan keamanan yang diperlukan, sehingga siapa pun bisa melakukan query langsung ke database… ada akses penuh ke nomor telepon dan/atau alamat email semua pengguna, dan postingan serta upvote dapat ditautkan langsung ke informasi pengenal ini… Selain itu, seluruh database bisa diedit. Siapa pun bisa mengedit postingan, nilai karma, status moderator, dan sebagainya”
    Ini benar-benar tidak masuk akal

    • Sayangnya, ini masalah yang sangat umum pada aplikasi Firebase
      Karena klien menulis langsung ke database, orang biasanya lupa melakukan pemeriksaan izin, dan mempercayai bahwa klien hanya akan menulis ke objek miliknya sendiri
      Dulu saya pernah mengubah nilai pengguna Firebase menjadi isAdmin=true dan mendapatkan akses admin ke sebuah perusahaan skuter listrik, lalu setelah itu tanpa sengaja menghapus skuter yang sedang saya sewa dari Firebase. Saya tidak tahu apa yang terjadi dengan skuter itu setelahnya
    • Beberapa tahun lalu saya menemukan bahwa aplikasi sahabat pena untuk belajar bahasa bernama HelloTalk menyimpan koordinat GPS asli pengguna di SQLite yang bisa ditemukan dari backup iOS
      Peta di dalam aplikasi hanya menampilkan lokasi perkiraan, dan pada tingkat zoom tertentu pinnya menghilang
      Dengan mitmproxy, jika request ditulis ulang, filter yang mencegah pengguna di bawah umur mencari pengguna 18+ atau mencegah orang dewasa mencari pengguna di bawah umur juga bisa dilewati, begitu pula filter khusus berbayar seperti lokasi dan gender. Status berbayar tidak diverifikasi di sisi server
    • Terkait itu, apakah ada alat untuk mengaudit atau menjelajahi database Firebase/Firestore? Misalnya untuk memeriksa apakah koleksi atau dokumen bisa dibaca
      Saya membayangkan alat web tempat kita memasukkan app ID dan nilai API yang disertakan di frontend publik, secara opsional juga mendukung session ID agar bisa menangani aplikasi Firestore yang memakai aturan keamanan ringan yang hanya terlihat bagi pengguna login, lalu menerima nama koleksi yang ditemukan dari kode JavaScript untuk dijelajahi
  • Menariknya, Ashton Cofer dan Teddy Solomon dari Fizz mencoba melakukan pemulihan PR setelah kesalahan mereka terungkap https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
    Jawaban mereka lemah, dan setelah itu tampaknya mereka menolak berkomentar tentang insiden ini

    • Menurut artikel Stanford Daily [0] yang ditautkan di tulisan asli, Fizz juga menghapus pernyataan tentang insiden ini dan apa yang disebut perbaikan dari situs webnya
      Disebutkan, “Fizz menerbitkan pernyataan pada 7 Desember 2021 berjudul ‘Security Improvements Regarding Fizz’, tetapi pada saat artikel ini diterbitkan, halaman tersebut tidak lagi dapat ditemukan di situs web Fizz maupun melalui pencarian Google”
      Selain itu, tampaknya besar kemungkinan aplikasi tersebut masih menyimpan informasi identitas pribadi atas aktivitas pengguna yang “anonim”
      “Selain itu, kami juga masih belum tahu apakah data kami dianonimkan secara internal. Para pendiri tahun lalu mengatakan kepada The Daily bahwa pengguna dapat diidentifikasi oleh developer, dan kebijakan privasi Fizz masih mengisyaratkan hal yang sama”
      Di sini, “developer” bisa saja mencakup para pendiri yang menolak berkomentar tentang masalah ini, menghapus komunikasi terkait dari perusahaan, dan pada awalnya memasarkan ember yang benar-benar bocor itu sebagai “aplikasi media sosial 100% aman” lalu, setelah ketahuan, memanfaatkan ancaman hukum
      Saya sama sekali tidak tertarik memasukkan informasi saya ke Fizz
  • Mengapa ancaman hukum bisa dilakukan lalu konsekuensinya dihindari, tetapi jika mengancam dengan kekerasan fisik orang bisa masuk penjara?

    • Perasaan itu memang agak aneh. Secara umum, meski ada petunjuk penting yang tidak akan dibahas semua di sini, mengancam akan mengajukan gugatan—tindakan yang legal—tentu boleh dikatakan, sedangkan mengancam akan melakukan penyerangan fisik—tindakan ilegal—tidak boleh dikatakan
    • Saya bukan pengacara, tetapi setahu saya di beberapa yurisdiksi dan situasi, mengancam akan melakukan penuntutan pidana itu sendiri bisa menjadi tindak pidana pemerasan atau penyalahgunaan proses hukum
    • Saya bukan pengacara, tetapi: 1) ancaman kekerasan secara eksplisit merupakan kejahatan 2) jika dilihat pada tingkat yang lebih tinggi, alasan ancaman kekerasan merupakan kejahatan adalah karena tindakan yang mendasarinya, yaitu melakukan kekerasan, juga merupakan kejahatan
      Mengancam akan melakukan tindakan yang legal pada umumnya legal. Misalnya, mengancam akan melapor ke pihak berwenang bukanlah hal ilegal
    • Mengancam akan melakukan sesuatu yang sepenuhnya legal itu sepenuhnya legal
    • https://en.wikipedia.org/wiki/Monopoly_on_violence
  • “Di ujung ancaman itu ada tuntutan: jangan pernah membicarakan temuan itu secara publik. Pada dasarnya, jika setuju untuk diam, mereka tidak akan menempuh langkah hukum”
    Secara hukum, apakah tuntutan seperti ini bisa sampai menghalangi percakapan dengan jaksa negara bagian atau polisi?
    Jika mereka mengklaim “100% aman” padahal sebenarnya tidak aman, dan tahu bahwa pengguna tidak mendapat perlindungan apa pun dari pengintaian oleh perusahaan atau setidaknya hacker yang cukup kompeten, itu setidaknya penipuan, dan lebih mendekati penyadapan pidana. Karena mereka sengaja menipu pengguna agar percaya bahwa layanan itu “100% aman” dan menceritakan rahasia mereka ke layanan tersebut
    Bahwa hal ini berakhir “baik-baik” sejujurnya adalah kegagalan keadilan. Tim Fizz seharusnya menghadapi tuduhan penipuan

    • Bisa saja Fizz benar-benar tidak mengetahui kerentanan keamanannya sendiri. Jika begitu, ini mungkin lebih dekat ke kelalaian daripada penipuan
    • Saya tidak melihat tuntutan Fizz sebagai sesuatu yang terlalu meyakinkan secara hukum
      Di AS, perusahaan lebih dipentingkan daripada warga. Iklan di AS penuh dengan klaim palsu
      Kita mengabaikannya dengan berpura-pura bahwa kata-kata tidak punya makna
  • Menarik. Di kampus kami juga ada platform yang sangat mirip bernama SideChat, dan sepertinya tidak akan jauh berbeda
    Tahun lalu saya diblokir permanen karena mempertanyakan validitas “terapi afirmasi gender”, jadi saya jadi penasaran seberapa banyak yang mereka ketahui tentang saya

  • Dari sisi jurnalisme, bagus bahwa mereka secara terbuka menunjuk Fizz. “Fizz tidak melindungi data pengguna. Lalu apa yang terjadi?”
    Ini bukan soal “siapa yang meretas”, melainkan Fizz gagal melakukan apa yang mereka janjikan
    Saya masih penasaran apakah sudah diuji bahwa kerentanannya benar-benar diperbaiki

    • Seingat saya, dalam artikel lanjutan Stanford Daily disebutkan bahwa para pembuat aplikasi menerima investasi jutaan dolar dan mendapat banyak bantuan profesional, termasuk untuk memperbaiki masalah keamanan
      Namun data pengguna tampaknya sebelumnya tidak benar-benar dianonimkan secara internal seperti yang pernah mereka klaim