1 poin oleh GN⁺ 2023-10-23 | 1 komentar | Bagikan ke WhatsApp
  • Di tengah belum adanya undang-undang privasi federal yang komprehensif di AS, data pribadi yang dikumpulkan dari aplikasi ponsel mengalir melalui industri iklan tertarget menjadi sarana pengawasan pemerintah
  • Pemerintah dapat membeli dan mengakses data pengguna yang semestinya memerlukan perintah pengadilan atau surat perintah dari data broker, sehingga batas antara pengawasan korporasi dan pengawasan oleh kekuasaan negara menjadi kabur
  • Investigasi Wall Street Journal menemukan bahwa Near Intelligence membeli data dari lebih dari 1 miliar perangkat dari data broker untuk periklanan, dan menandatangani kontrak agar data itu diteruskan ke lembaga militer dan intelijen federal melalui kontraktor pemerintah
  • Data lokasi dapat digunakan untuk melacak peserta demonstrasi, pengunjung fasilitas tertentu, serta kontak antara jurnalis dan whistleblower, sehingga risikonya meluas dari pelanggaran privasi hingga pembalasan dan salah identifikasi
  • Solusinya adalah mengesahkan Fourth Amendment is Not For Sale Act, yang melarang pemerintah membeli data yang tidak dapat diperolehnya tanpa surat perintah, serta undang-undang privasi data konsumen yang komprehensif

Jalur berubahnya data iklan menjadi pengawasan pemerintah

  • AS tidak memiliki legislasi privasi federal yang komprehensif, dan industri iklan tertarget beroperasi berdasarkan data pribadi yang dikumpulkan dari aplikasi ponsel
  • Inti melemahnya batas antara pengawasan korporasi dan pengawasan pemerintah ada pada struktur pembelian data
    • Kecuali data sepenuhnya terenkripsi atau disimpan langsung secara lokal oleh pengguna, pemerintah dapat memperoleh data dari perusahaan komunikasi dan komputasi
    • Secara tradisional, perintah pengadilan diperlukan, tetapi kini semakin banyak kasus pemerintah membeli data secara langsung dari broker yang membeli data dari industri teknologi iklan

Kasus Near Intelligence

  • Investigasi Wall Street Journal mengungkap struktur perdagangan data sebuah perusahaan bernama Near Intelligence
  • Near Intelligence membeli data pribadi dan perangkat yang biasanya dijual kepada pengiklan dari broker
    • Perusahaan menyatakan telah membeli data terkait lebih dari 1 miliar perangkat
    • Perusahaan menandatangani kontrak dengan kontraktor pemerintah, dan data ini diteruskan ke lembaga militer dan intelijen federal
  • Dengan cara ini, pemerintah dapat membeli akses bahkan ke informasi lokasi yang biasanya memerlukan alasan yang kuat dan surat perintah
  • Banyak pengembang aplikasi smartphone, demi pendapatan, ingin menjual data pengguna kepada pihak yang menawarkan harga tertinggi, dan pembelinya dapat mencakup pemerintah

Kerugian yang dapat ditimbulkan pelacakan lokasi tanpa surat perintah

  • Polisi dapat menggunakan alat pengawasan semacam ini untuk mengidentifikasi perangkat orang-orang yang menghadiri demonstrasi, lalu mengikuti mereka sampai ke rumah tempat mereka tidur dan menjadikannya target pengawasan tambahan, pelecehan, atau pembalasan
  • Pelacakan juga dapat dilakukan hanya terhadap perangkat yang berada di dalam lokasi tertentu
    • Kantor pengacara imigrasi
    • Klinik kesehatan reproduksi
    • Fasilitas kesehatan mental
  • Situasi ketika jurnalis dan narasumber whistleblower bertemu secara rahasia juga dapat diawasi dengan alat semacam ini
  • Ada pula kasus pejabat penegak hukum menyalahgunakan teknologi pengawasan untuk alasan pribadi yang berniat jahat

Wilayah dengan policing berlebihan dan risiko salah identifikasi

  • Pengawasan semacam ini membuat orang yang tinggal dan bekerja di wilayah dengan aktivitas kepolisian yang tinggi menjadi lebih rentan dicurigai polisi
  • Sekadar berada di samping toko pizza saat terjadi perampokan, atau mengambil jeda minum kopi di dekat grafiti, dapat membuat perangkat mereka diklasifikasikan sebagai berada di dekat lokasi kejahatan dan menjadi target pengawasan tambahan

Fog Data Science dan tuntutan legislasi

  • Kasus Near Intelligence muncul satu tahun setelah EFF menyelidiki Fog Data Science
    • Fog Data Science adalah perusahaan yang menyediakan akses ke informasi lokasi yang presisi dan berkelanjutan dari ratusan juta warga AS kepada lembaga penegak hukum negara bagian dan lokal
    • Data ini dikumpulkan dari aplikasi smartphone lalu diagregasi oleh data broker yang tidak transparan
    • Aksesnya mudah, dan sering dilakukan tanpa surat perintah
  • Hal utama yang harus ditutup Kongres adalah celah data broker
  • Kongres dan pemerintah negara bagian juga harus mengesahkan undang-undang privasi data konsumen yang komprehensif
    • Jika perusahaan mengumpulkan lebih sedikit data pengguna, data yang dapat dibeli pemerintah dari perusahaan-perusahaan itu juga berkurang
  • Diperlukan tekanan kelembagaan agar pemerintah tidak dapat mengakali informasi yang semestinya memerlukan surat perintah dengan cara membelinya

1 komentar

 
GN⁺ 2023-10-23
Komentar Hacker News
  • Saya setuju dengan pokok masalah tulisan ini, tetapi bukankah juga perlu ada tekanan agar operator seluler tidak boleh menjual data lokasi?
    Menunjuk pengembang aplikasi smartphone memang bernilai, tetapi ISP bisa mengetahui lokasi bahkan tanpa smartphone, dan secara hukum mereka memang harus bisa melaporkannya (https://en.wikipedia.org/wiki/Communications_Assistance_for_... dan lain-lain)
    Saya penasaran apakah EFF menganggap upaya untuk mencegah yang terakhir lewat legislasi sudah tidak ada artinya.

    • Sama sekali tidak. EFF juga melakukan banyak pekerjaan baik ke arah itu.
      https://www.eff.org/issues/cell-tracking
    • Benar. Harus ada aturan yang mencegah pengumpulan data itu sendiri.
      Kita juga harus mencegah penguncian perangkat yang “dimiliki” orang sehingga mereka tidak bisa memakai langkah penanggulangan.
      Pemanfaatan data ini oleh sektor swasta sama mengkhawatirkannya dengan pemanfaatan oleh pemerintah, bahkan mungkin lebih. Negara setidaknya sering masih memiliki akuntabilitas demokratis.
    • Saya pernah membuat salah satu sistem agregasi lokasi awal. Mungkin saja yang pertama, meski sulit dipastikan.
      Saat itu perusahaan saya punya hubungan erat dengan operator seluler AS, dan kami terutama membuat aplikasi white-label dengan dalih keselamatan keluarga. Namun banyak pengguna lebih tertarik pada lokasi pasangan atau kekasih daripada anak mereka.
      Di sekitar periode yang sama, OAuth 1a muncul, dan saya berpikir akan bagus jika memanfaatkan hubungan ini untuk menyediakan platform yang menjual lokasi kepada pengembang aplikasi dengan basis persetujuan. Saya juga ingin memasukkan banyak fitur perlindungan privasi.
      Pada akhirnya hanya ada satu pengembang aplikasi yang sedikit pun berhasil, dan masa depan produk itu hilang ketika agregator yang kurang peduli pada privasi bekerja sama dengan generasi pengembang aplikasi berikutnya. Kenangannya menarik.
    • Kalimat bahwa setelah CALEA disahkan, cakupannya diperluas besar-besaran hingga mencakup semua lalu lintas VoIP dan internet broadband terdengar seolah aparat penegak hukum bisa menyadap panggilan VoIP apa pun sesuka hati. Saya penasaran bagaimana itu sebenarnya bisa dilakukan.
      Setahu saya, panggilan VoIP biasanya memakai SIP untuk membunyikan pihak lawan (sebagian diamankan), lalu ICE/STUN/TURN agar kedua sisi menemukan rute paling langsung, kemudian saling mengirim stream suara yang sebenarnya.
      Apakah klien memang tidak mengenkripsi stream suara? Atau apakah operator mencegat semuanya setelah hop SIP pertama seperti serangan man-in-the-middle? Itu tampaknya tidak cocok dengan metode pemantauan baca-saja yang “mengirim salinan data jaringan lewat hardware tap atau port mirror switch/router ke probe IP khusus”.
    • Perlu juga edukasi yang lebih baik tentang risiko membawa penerima GPS yang selalu aktif dan terus mengirim lokasi ke pihak ketiga.
      Ini bisa terdengar seperti menyalahkan korban. Meski begitu, mematikan ponsel tetap merupakan pilihan.
  • Konsep AdInt juga layak dirujuk. Disebutkan di https://www.theregister.com/2023/09/16/insanet_spyware/, dan cara kerjanya dijelaskan lebih rinci dalam investigasi asli koran Israel Haaretz di https://archive.ph/7dbaV
    Ini pernah diposting sebelumnya, tetapi komentarnya hanya 2: https://news.ycombinator.com/item?id=37542097

  • Saya rasa ini akan berakhir jauh lebih buruk daripada yang dibayangkan orang.
    Bukankah perusahaan yang bersekongkol dengan pemerintah adalah definisi fasisme? Kalau begitu, bukankah itulah yang sedang kita lihat sekarang?

    • Sulit menyebutnya fasisme secara klasik, tetapi firasat bahwa semua ini akan berakhir buruk kemungkinan besar benar.
      Setelah pengungkapan Snowden, kita mengetahui bahwa berbagai negara telah menimbun kerentanan dan membangun kesenjangan kekuasaan digital yang dapat diterapkan bahkan untuk tujuan-tujuan sepele.
      NSO Group menunjukkan bahwa ponsel apa pun pada dasarnya bisa disusupi secara diam-diam tanpa perangkat lunak tambahan, dan peristiwa seperti penyelidikan pembunuhan Canada/India baru-baru ini juga mengisyaratkan bahwa kanal yang dianggap aman pada akhirnya bisa disadap.
      Sulit bahkan membayangkan sejauh apa kemampuan China atau NSA saat ini. Kita memang belum mengalami bencana besar, tetapi terasa semakin kuat bahwa garis pengawasan dan kontrol internet sudah ditarik. Meski begitu, kalau ada yang bisa membela tafsir yang lebih optimistis dengan kuat, saya ingin mendengarnya.
    • Saya baru pertama kali mendengar definisi “kalau pemerintah dan perusahaan bersekongkol, itu fasisme”.
      Biasanya fasisme didefinisikan sebagai nasionalisme otoriter, pemimpin diktator yang tersentralisasi, militerisme, penindasan paksa terhadap oposisi, penundukan kepentingan individu atas nama kepentingan negara atau ras, serta propaganda untuk mempertahankan keyakinan bahwa ada hierarki sosial yang alami.
    • Dulu saya mungkin akan setuju bahwa penyalahgunaan seperti ini akan berakhir buruk, tetapi setelah pengungkapan Snowden dan Wikileaks, kita melihat betapa nihilistis dan jahatnya lembaga-lembaga mapan kita, namun tidak banyak yang berubah.
      Efek utama pengungkapan itu adalah naiknya populisme, tetapi selain kehilangan Gedung Putih selama satu masa jabatan, tidak ada dampak yang bertahan, dan reaksi populis itu pada dasarnya juga berhasil ditekan.
      Jika ingin menciptakan perubahan, mungkin kita perlu turun tangan lebih awal ketika yang ribut masih hanya pinggiran yang dianggap gila, misalnya 25 tahun lalu atau 25 tahun dari sekarang, agar arus berikutnya bisa diarahkan ke arah lain.
    • Pengawasan web saat ini akan terlihat sederhana dibandingkan dengan apa yang akan datang.
      Perangkat seperti Quest 3 dan Apple Vision baru permulaan, dan ketika semua orang berjalan-jalan memakai perangkat AR, tidak akan ada cara untuk keluar dari point cloud.
      Perusahaan-perusahaan ini akan memiliki grafik real-time tentang semua orang di ruang publik—di mana mereka berada dan apa yang mereka lakukan—termasuk orang-orang yang belum pernah memakai layanan apa pun. Menakutkan.
    • Justru hampir sebaliknya. Dalam pemerintahan fasis, saya kira cabang eksekutif pada dasarnya akan mengendalikan pasar dan perusahaan.
      Namun gerakan ini tampak lebih dekat pada perusahaan yang pada dasarnya mengendalikan dan menggantikan pemerintah. Ini seperti gagasan menyimpang kapitalisme pemangku kepentingan yang mencapai kesimpulan alamiahnya.
  • Bagian intinya adalah: “Jika data tidak sepenuhnya dienkripsi atau tidak disimpan langsung secara lokal, pemerintah bisa memperoleh data itu dari perusahaan telekomunikasi atau perusahaan komputasi. Secara tradisional, dibutuhkan perintah pengadilan, tetapi makin lama pemerintah cukup membelinya dari broker data yang membeli data dari industri teknologi iklan.”
    Menurut saya, industri teknologi iklan juga mencakup Meta dan Google. Namun sebagian orang marah sambil berkata, “Meta sebenarnya tidak menjual datamu” atau “Google sebenarnya tidak menjual datamu.”
    Jika perusahaan-perusahaan ini berpartisipasi dalam ekosistem ini dan membeli dari broker data, mereka sama buruknya dengan broker data. Meta dan Google tidak boleh berpura-pura suci dan lolos dari kritik, sementara mereka menghasilkan sebagian besar uang dari hubungan semacam ini dan memungkinkan terjadinya pengawasan.

    • Yang lebih menjengkelkan lagi adalah pemerintah memakai layanan ini langsung di situs webnya sendiri.
      Misalnya, dmv.ca.gov dan irs.gov sama-sama menggunakan Google di seluruh situsnya.
      Ketika pemerintah menjadikan Google sebagai solusi saat membutuhkan hal seperti verifikasi identitas atau CAPTCHA, strukturnya jadi runtuh.
  • Saya pernah mendengar ucapan bahwa “demokrasi berteknologi maju kurang bebas dibanding kediktatoran berteknologi primitif.”

    • Orang yang mengatakan itu bodoh. Ia perlu membaca tentang kehidupan di Mesir kuno, Spain pada masa Inkuisisi, Nazi Germany, dan GDR.
      Mereka secara teknologi tertinggal dibanding Switzerland, New Zealand, Denmark, Estonia, dan Ireland saat ini, tetapi tidak lebih bebas [1]
      [1] https://worldpopulationreview.com/country-rankings/freedom-i...
  • Menurut saya, data pribadi saya bukan sesuatu yang harus “dilindungi” atau “diatur” oleh FTC.
    Satu-satunya legislasi yang efektif hanyalah melarang sepenuhnya seluruh titik penjualan data pengguna pribadi tanpa persetujuan eksplisit pengguna (misalnya konfirmasi cookie), tetapi hal seperti itu tidak akan pernah terjadi.
    Dan jika ini memang seterang-terangan itu, saya juga bertanya-tanya mengapa belum ada gugatan. Pemerintah AS sudah terikat oleh Konstitusi dan Amandemen Keempat. Saya tidak merasa kita membutuhkan undang-undang tambal-sulam yang dibuat oleh orang-orang yang bahkan tidak tahu apa yang mereka lakukan.