Google membagikan nomor telepon saya

 (danq.me)
1 poin oleh GN⁺ 2025-05-27 | 1 komentar | Bagikan ke WhatsApp
  • Baru-baru ini, para pengguna Three Rings berulang kali menelepon penulis, dan setelah menelusuri penyebabnya ditemukan bahwa nomor ponsel pribadi penulis terekspos di hasil pencarian Google
  • Nomor tersebut sebelumnya dikirim saat proses verifikasi identitas Google, dan ditambahkan ke Google Business Profile di hasil pencarian tanpa persetujuan
  • Penulis segera menghapus nomor itu dari profil bisnis untuk menghentikan paparan, tetapi tidak memperoleh penjelasan tentang alasan perubahan tersebut
  • Baru-baru ini, penulis juga mengalami kebocoran data pribadi di bank lain, sehingga sulitnya melindungi privasi makin menumbuhkan ketidakpercayaan
  • Ini menunjukkan pentingnya persetujuan pengguna, sekaligus bahwa kesalahan pengguna atau persetujuan yang diberikan secara serampangan dapat mempercepat kebocoran PII

Ringkasan insiden

  • Pada awal bulan ini, penulis menerima telepon dari seorang pengguna perangkat lunak manajemen relawan Three Rings yang ia dirikan
  • Dukungan lewat telepon sebenarnya tidak disediakan secara resmi, tetapi di masa lalu penulis sering menelepon balik pengguna secara langsung
  • Karena itu, penulis mengira sebagian pengguna mungkin menyimpan nomor ponsel pribadi miliknya

Telepon yang terus berulang dan munculnya kecurigaan

  • Setelah menerima telepon serupa untuk ketiga kalinya pada bulan yang sama, penulis mulai curiga di mana nomornya dipublikasikan
  • Pada telepon keempat, ketika penulis mengatakan ia tidak tahu nama organisasi penelepon, ia bertanya dari mana nomor itu ditemukan
  • Orang tersebut menjawab, "Kalau mencari 'Three Rings login' di Google, nomornya muncul"

Paparan informasi pribadi melalui hasil pencarian Google

  • Setelah mencari sendiri untuk memastikannya, penulis menemukan bahwa Google Business Profile milik Three Rings CIC menampilkan kontak pribadi penulis
  • Siapa pun bisa langsung menelepon nomor pribadi penulis melalui tombol 'Panggil'
  • Karena penulis hampir tidak pernah menggunakan Google Search, ia mungkin tidak akan menyadarinya jika tidak diberi tahu orang lain

Cara Google mengelola informasi pribadi

  • Penulis memang pernah menyerahkan nomor tersebut dalam proses verifikasi identitas Google di masa lalu, tetapi tidak pernah menyetujui publikasinya
  • Belakangan Google mulai menampilkan nomor itu di Google Business Profile secara sepihak, dan waktu maupun penyebab pastinya juga tidak jelas
  • Begitu penulis menghapus nomor itu dari profil bisnis, paparannya langsung dihentikan
  • Namun, bersamaan dengan penghapusan nomor tersebut, pesan "nomor telepon diubah oleh Google" juga menghilang, sehingga alasan dan kronologi perubahannya tidak dapat diketahui

Kasus lembaga keuangan lain baru-baru ini dan kecemasan pengguna

  • Bulan lalu, sebuah bank (Halifax) mengirimkan informasi kontrak kredit kepada orang lain yang tidak terkait dengan penulis
  • Setelah mengalami dua kebocoran data pribadi secara beruntun, penulis mulai bertanya-tanya apakah ia tanpa sadar pernah mencentang popup persetujuan secara keliru
  • Ia menyindir bahwa pemberitahuan persetujuan privasi pada kenyataannya sulit dipahami, dan lingkungannya mendorong orang untuk tanpa pikir panjang menekan tombol 'Setuju'

Ringkasan dan implikasi

  • Ini menunjukkan bahwa pelanggaran privasi yang tak terduga dapat terjadi pada siapa saja
  • Kepercayaan pengguna terhadap pengelolaan penggunaan dan publikasi data pribadi di platform besar seperti Google dan lembaga keuangan kembali ditekankan
  • Risiko kebocoran PII (informasi yang dapat mengidentifikasi pribadi) tetap ada akibat kesalahan pengguna, kelalaian, atau sinkronisasi sistem yang dilakukan secara sepihak
  • Masih ada kesenjangan antara makna persetujuan dan praktik pemrosesan data yang sebenarnya
  • Perusahaan IT dan pengguna membutuhkan panduan yang lebih transparan dan mudah dipahami untuk mengelola informasi pribadi dengan aman

Bacaan terkait

1 komentar

 
GN⁺ 2025-05-27
Komentar Hacker News

  • Menunjukkan bahwa nomor telepon dipublikasikan di situs web, dan nomor yang sama juga tampil di profil developer Google Play. Menurut pendapat ini, kedua profil tampaknya memuat informasi yang memang dipublikasikan sendiri oleh pemiliknya. Jika nomor pribadi dan nomor bisnis memakai nomor yang sama, hasil seperti ini dianggap wajar terjadi. Awalnya terlihat seperti Google yang salah karena mengubah nomor ini dari privat menjadi publik, tetapi dijelaskan bahwa Google Play memang meminta nomor yang bisa dihubungi pelanggan

    • Mengaku sebagai penulis postingan, lalu mengatakan seharusnya tidak ada nomor telepon di situs web dan dirinya juga tidak bisa menemukannya. Ia menyayangkan nomor tersebut tampil di profil developer Google Play, dan berterima kasih karena sudah diberi tahu

  • Membagikan pengalaman saat dulu membeli ponsel Samsung, lalu ada fitur yang menampilkan nama penelepon dari nomor tak dikenal. Dugaan mereka, datanya diambil dari basis data kontak milik orang lain. Suatu hari tetangganya menelepon, dan meski nomornya belum disimpan, layar menampilkan nama 'NAMA GRINDER' karena pengguna lain rupanya menyimpannya dengan nama itu. Tetangga tersebut memang orang yang sudah coming out di lingkungannya, tetapi ia bekerja di penjualan perusahaan properti dan sangat tidak nyaman dengan kebocoran informasi seperti itu. Ia juga menjelaskan bahwa dirinya sendiri sudah 7 tahun tidak memakai aplikasi itu

    • Menanggapi bahwa sulit dipercaya hal seperti ini benar-benar terjadi. Menurut pendapat ini, situasinya tampak berbahaya sampai-sampai mudah membayangkan kasus yang jauh lebih serius daripada contoh tersebut

    • Menambahkan bahwa di beberapa ponsel Samsung ada truecaller atau callapp yang sudah terpasang, dan itu bisa memicu situasi seperti ini

  • Membagikan pengalaman menjalankan perusahaan di Belanda, ketika Google memperbarui nomor telepon perusahaan berdasarkan nomor registrasi kamar dagang. Perusahaan tersebut tidak menyediakan dukungan via telepon, tetapi secara hukum nomor telepon wajib dicantumkan pada data registrasi. Mereka mendaftarkan nomor VoIP yang langsung terhubung ke voicemail, dengan pesan yang menjelaskan bahwa dukungan telepon tidak disediakan. Meski nomor itu dihapus dari Google Business Profile, kadang-kadang Google kembali menambahkannya secara otomatis

  • Ada pendapat bahwa mungkin seseorang secara bebas menambahkan nomor telepon yang mereka miliki ke profil perusahaan karena dianggap bermanfaat

    • Menekankan bahwa di tangkapan layar tertulis jelas 'Nomor diperbarui oleh Google', jadi itu bukan input pengguna

    • Berpendapat bahwa jika pengguna umum bisa seenaknya memperbarui nomor di profil bisnis, dan Google langsung mempublikasikannya tanpa izin dari pemilik nomor, itu adalah kesalahan besar

  • Mengatakan dirinya juga punya pengalaman serupa, yakni menerima telepon pada pukul 2 dini hari. Saat dulu mengelola layanan rekrutmen di perusahaan lama, ia memasang lowongan untuk developer Python untuk proyeknya sendiri, tetapi tidak ada opsi untuk mematikan publikasi kontak. Akibatnya, sekitar jam 5 pagi seseorang yang tidak dikenal menelepon berkali-kali untuk bertanya bagaimana cara menjadi programmer. Ia mengenang bahwa pada panggilan pertama ia sangat kaget sampai sempat memberi saran yang cukup berguna. Sekarang, untuk menghadapi situasi kebocoran privasi seperti ini, ia memakai 4 nomor telepon berbeda untuk keperluan pribadi, kerja, dan lainnya

    • Ketika disebut aneh bahwa semua telepon datang tepat pukul 5 pagi, ada yang menunjukkan bahwa mungkin penelepon berasal dari wilayah yang sama sehingga karena perbedaan zona waktu, itu bertepatan dengan jam masuk kerja mereka

  • Menjelaskan dampak buruk yang terjadi ketika Google tidak digugat. Di Jerman, lieferando (grup Takeaway.com) mendaftarkan massal domain seperti 'nama-restoran-kota.de' lalu mengarahkannya ke call center mereka sendiri, dan juga mengubah listing Google Business menjadi milik mereka. Setelah itu, mereka menelepon pemilik restoran dan secara memaksa menuntut contract dengan alasan kalau tidak, restoran itu tidak akan bisa ditemukan di Google. Bahkan pelanggan yang ingin memesan lewat call center bisa menerima informasi yang salah, sehingga sangat merugikan bisnis. Disebutkan bahwa domain boneka seperti ini jumlahnya lebih dari 130 ribu, dan komentator tersebut pernah membantu menyediakan dataset untuk para pemilik restoran yang dirugikan. Namun, karena kerugian per kasus tidak terlalu besar, gugatan menjadi sulit, dan tidak seperti di AS, ini juga bukan class action sehingga masalah hukumnya tidak benar-benar terangkat. Ia menuding Google mengetahui situasi ini tetapi menghindari tanggung jawab melalui struktur holding yang besar

    • Menyebut bahwa cara serupa dulu banyak dipakai di BlackHatWorld sekitar 15 tahun lalu, dan merasa ironis karena kini perusahaan VC juga memanfaatkannya

    • Membantah bahwa ini bukan semata masalah Google, melainkan masalah perusahaan yang melakukan pemerasan bisa lolos dari gugatan

    • Bertanya apakah di Google Maps benar-benar cukup hanya mendaftarkan domain untuk dengan mudah mengambil alih bisnis apa pun, dan apakah Google tidak punya mekanisme tersendiri untuk menangani sengketa kepemilikan

    • Bertanya apakah ada artikel liputan yang layak dari media Jerman tentang kasus tersebut

    • Menekankan bahwa kenyataan ini menakutkan karena ekosistem yang dibuat Google sangat mudah dijadikan senjata untuk menyerang bisnis kecil

  • Menunjukkan bahwa cerita yang diajukan dalam isi utama tulisan ini mungkin sebenarnya bukan penjelasan yang paling tepat. Di komentar saja sudah ada setidaknya tiga penjelasan alternatif. Mengusulkan bahwa jika data akun Google diminta lewat Takeout, mungkin bisa dilihat data apa yang dimiliki dan untuk tujuan apa digunakan

    • Namun dijelaskan bahwa Google tidak menyediakan fitur Takeout untuk Business Profile, dan perusahaan sering kali tidak dilindungi oleh aturan privasi pribadi seperti GDPR, sehingga perusahaan besar seperti Google tidak menyediakan alat kemudahan seperti ekspor data

  • Membagikan pengalaman nomor ponsel pribadinya dipublikasikan di Google Play Store. Setelah lebih dari sebulan mencoba verifikasi, ia akhirnya terpaksa memasukkan nomor pribadi karena ada peringatan bahwa akun akan ditangguhkan jika nomor bisnis tidak bisa diverifikasi

    • Mengatakan dirinya juga publisher aplikasi independen yang pernah mengalami hal serupa, dan merasa tidak nyaman karena nomor teleponnya ditampilkan di samping aplikasinya padahal ia tidak menyediakan dukungan pelanggan. Menurutnya, kebijakan seperti ini hanya merugikan developer aplikasi indie. Karena itu, ia memutuskan untuk menarik aplikasinya dari store

  • Membagikan fakta bahwa siapa pun bisa mengubah nomor telepon bisnis melalui Google Search. Terdengar aneh, tetapi memang nyata contoh perubahan nomor telepon Three Rings CIC

    • Menjelaskan bahwa siapa pun pengguna Google Maps bisa mengusulkan edit, tetapi informasi yang dikirim akan ditinjau sebelum diterapkan. Berbagai hal bisa dilaporkan, seperti bisnis tutup, perubahan alamat, perubahan jam operasional, dan lain-lain. Bahkan bisa dipakai juga untuk halte bus, stasiun kereta, situs bersejarah, dan sebagainya. Sistem ini dijelaskan berbasis 'crowdsourcing'. Panduan Google Business Profile dan tautan pendaftaran Business Profile juga dibagikan

  • Ada pendapat bahwa meski nomor di gambar utama diblur, angkanya masih tetap terlihat

    • Pemilik blog menjawab langsung bahwa di tangkapan layar aslinya dipakai 'nomor fiktif untuk drama' yang secara resmi ditetapkan Ofcom, jadi tidak ada masalah keamanan. Referensi nomor telepon resmi untuk drama

    • Menyebut blur-nya terlalu lemah sehingga nomor tetap bisa dibaca, lalu memberi contoh bahwa meski gambar dibuat sangat buram, teknologi seperti AI tetap bisa hampir memulihkan informasinya contoh gambar

    • Menyadari bahwa nomor tersebut memang 07700 987654, jadi jelas nomor fiktif

    • Berpendapat bahwa efek blur sederhana saja sulit melindungi informasi sensitif, dan para ahli merekomendasikan cara penutupan yang lebih aman. Terutama dalam kasus gambar seperti ini, nomor masih mudah dikenali bahkan tanpa teknik khusus. Jika alasan blur itu untuk melindungi identitas, mereka menyarankan agar gambarnya segera diperbarui

    • Mengkhawatirkan bahwa crawler AI belakangan juga mengekstrak teks dari gambar untuk membangun dataset, sehingga gambar dengan blur seadanya pun berisiko masuk sebagai data LLM