Data pengawasan yang mengguncang pemahaman lama tentang pelacakan lokasi

 (lighthousereports.com)
2 poin oleh GN⁺ 2025-10-15 | 2 komentar | Bagikan ke WhatsApp
  • Perusahaan teknologi pengawasan yang hampir tidak dikenal, First Wap, menjual perangkat lunak kuat bernama Altamides yang dapat melacak lokasi orang di seluruh dunia kepada perusahaan swasta dan pihak lainnya
  • Lighthouse Reports dan mitra jurnalisnya menganalisis arsip data berisi lebih dari 1,5 juta catatan dan mengungkap bahwa politikus, pebisnis, hingga orang biasa menjadi target pengawasan ilegal
  • Industri pengawasan mengklaim alatnya hanya dipakai untuk penyelidikan kriminal, tetapi kenyataannya terungkap bahwa penggunaan untuk tujuan swasta nonpemerintah dan tujuan yang tidak etis juga dibiarkan
  • First Wap membangun sistem pelacakan global dengan memanfaatkan celah keamanan pada protokol komunikasi lama SS7, lalu memperkuatnya dengan fitur penyadapan panggilan dan peretasan pesan terenkripsi
  • Melalui liputan penyamaran, terungkap indikasi bahwa manajemen perusahaan tetap membahas transaksi meski mengetahui risikonya terkait penjualan lewat jalur penghindaran sanksi

Wajah asli bisnis pengawasan: pelacakan Altamides dan skalanya yang internasional

Realitas industri pengawasan yang terungkap di Praha

  • Pada Juni 2024, di pameran teknologi pengawasan rahasia ISS World, eksekutif penjualan First Wap, Günther Rudolph, dalam pembicaraan soal penjualan perangkat lunak pelacakan Altamides kepada sebuah perusahaan tambang swasta, menyebut bahwa “orang bisa masuk penjara jika mengatur transaksi ini”
  • Lawan bicara saat itu adalah perusahaan milik sosok yang dikenai sanksi dan memiliki tujuan mengawasi aktivis lingkungan, dan Rudolph memberi isyarat keunggulan teknologi eksklusif dengan mengatakan, “hanya kami yang bisa”
  • Namun, pihak lawan bicara itu ternyata adalah jurnalis penyamaran dari Lighthouse Reports

Arsip pelacakan lokasi dalam skala besar dan investigasi kolaboratif internasional

  • Titik awalnya adalah analisis atas arsip data pelacakan lokasi lebih dari 1,5 juta catatan yang ditemukan di deep web oleh seorang jurnalis Lighthouse
  • Sebanyak 14 media dan lebih dari 70 jurnalis berpartisipasi untuk mengidentifikasi pemilik tiap nomor telepon dan mengelompokkan grup target (cluster) guna memahami gambaran keseluruhannya
  • Data itu mencakup tokoh dari 160 negara, termasuk politikus senior aktif maupun mantan, pebisnis, dan warga biasa
  • Contohnya: mantan perdana menteri Qatar, istri mantan presiden Suriah Bashar al-Assad, produser Netflix, pendiri Blackwater, pendiri 23andMe, eksekutif Red Bull, dan banyak tokoh lain dilacak secara luas
  • Dalam proses analisis data dan peliputan, para jurnalis di berbagai negara juga menelusuri dan mengonfirmasi indikasi pengawasan serta korban tambahan di negara masing-masing

Posisi First Wap dan pembelaan diri industri

  • First Wap mengklaim “tidak terkait dengan tindakan ilegal maupun pelanggaran HAM” dan menolak memberi komentar khusus karena khawatir pembahasan yang terlalu spesifik dapat mengungkap identitas pelanggan
  • Perusahaan itu menekankan posisi umum bahwa “setelah instalasi, mereka tidak ikut campur dalam tujuan penggunaan, dan lembaga penegak hukum memakainya untuk menangani ‘kejahatan terorganisir, terorisme, dan korupsi’”
  • Seluruh industri pengawasan mempertahankan narasi bahwa alat-alat tersebut hanya dipakai untuk melawan terorisme dan kejahatan, tetapi investigasi ini menunjukkan kenyataan bahwa penggunaan oleh pemerintah maupun nonpemerintah, untuk tujuan komersial maupun pribadi, sama-sama dibiarkan

Perangkat lunak pengawasan tanpa batas negara, kenyataan bahwa siapa pun bisa menjadi korban

Kasus korban nyata Altamides

  • Pada 2012, “Sophia” (nama samaran), yang sedang berlibur di pantai Goa, India, dilacak lokasinya menggunakan sistem pengawasan setingkat negara oleh seorang pria dengan obsesi pribadi terhadapnya
  • Seperti terlihat dalam kasus ini, Altamides telah meluas hingga ke pihak swasta nonpemerintah (penguntit, perusahaan, dan lainnya), dan orang-orang biasa seperti guru, terapis, serta seniman tato juga tercatat sebagai korban

Jalur distribusi dan ekspansi perangkat lunak

  • First Wap menjual perangkat lunaknya ke seluruh dunia melalui jaringan distributor perantara
  • Perusahaan konsultan investigasi asal Inggris, KCS Group, berupaya menjual Altamides kepada pemerintah di Afrika Utara dan Asia, dan dokumen menunjukkan upaya memanfaatkan ketidakstabilan politik (Arab Spring) sebagai peluang komersial
  • KCS menyatakan secara resmi bahwa mereka “tidak terlibat dalam penjualan atau penggunaan alat pengawasan yang tidak etis”

Pelopor senyap yang menguasai industri

Asal-usul teknis dan pertumbuhan Altamides

  • Josef Fuchs, mantan pegawai Siemens, menemukan kerentanan SS7 di jaringan telekomunikasi global pada awal 2000-an, lalu memanfaatkannya untuk mengubah arah bisnis First Wap dari pemasaran pesan singkat → perangkat lunak pelacakan ponsel
  • Sejak era feature phone seperti BlackBerry dan Nokia, sistem ini memungkinkan pelacakan lokasi di mana pun di dunia hanya dengan memasukkan nomor telepon
  • Setelah itu, fiturnya diperluas ke penyadapan SMS, penyadapan panggilan, serta peretasan pesan terenkripsi seperti WhatsApp

Dominasi pasar global dan pengelolaan dari balik bayangan

  • Selama lebih dari 20 tahun, First Wap diam-diam membangun kerajaan pengawasan global tanpa batas negara maupun batasan hukum, dan pada praktiknya tidak menetapkan kategori atau batas yang jelas atas ruang lingkup pengawasan

Realitas di luar manual yang terungkap lewat liputan penyamaran

Batas etika dan praktik transaksi lewat jalur memutar

  • Pada tahap awal kontak dan analisis dokumen, ditemukan kasus pengawasan terhadap orang yang tidak terkait kejahatan umum serta penggunaan oleh negara otoriter dan aktor nonpemerintah
  • First Wap mengklaim bahwa mereka hanya berkontrak dengan pelanggan pemerintah setelah menjalankan prosedur kepatuhan sanksi dan peninjauan ketat
  • Jurnalis penyamaran, dengan identitas palsu sebagai pimpinan perusahaan konsultan dari Afrika Selatan, menghadiri ISS World di Praha dan bertemu staf penjualan nyata untuk menguji kemungkinan proyek pengawasan oleh perusahaan swasta dan untuk tujuan politik
  • Terkait kasus berisiko, direktur penjualan Rudolph mengakui adanya “cara memutar”, dengan mengatakan bahwa meski berisiko karena sanksi Eropa, transaksi masih bisa dilakukan melalui badan hukum di Indonesia dan penggunaan perusahaan cangkang
  • Setelah Lighthouse memberi tahu soal investigasi penyamaran itu, pihak First Wap menjelaskan bahwa “ucapan yang sebenarnya hanya merujuk pada kemungkinan teknis, dan telah terjadi kesalahpahaman”

Bacaan terkait

2 komentar

 
crawler 2025-10-15

Apakah ini benar, bukan sekadar cerita seperti teori konspirasi?
Walaupun ini kerentanan yang ada di protokol itu sendiri, pasti ada ratusan operator telekomunikasi, jadi sulit dipercaya bagaimana bisa melacak seluruh dunia.
Sejak awal, bagaimana mereka bisa tahu dan mengidentifikasi nomor telepon Presiden AS, Jensen Huang, atau Chunsik yang tinggal di sebelah rumah saya?
 
GN⁺ 2025-10-15
Opini Hacker News

  • Saya berharap para jurnalis mau menggali lebih jauh mengapa teknologi pengawasan seperti ini dan berbagi informasi semacam ini diizinkan, serta insentif apa yang membuat teknologi tersebut tetap ada. Saat membaca memoar Presiden Obama, <A Promised Land>, kesan saya adalah bahwa ketika seseorang berada di posisi pemimpin dan secara langsung memikul tanggung jawab atas keselamatan publik, sikapnya terhadap pengawasan bisa berubah total. Setiap kali melihat kamera Flock atau perangkat pengawasan di dalam toko, saya merasa para pemimpin lebih terpikat pada kekuasaan dari teknologi ini sendiri daripada pada kemungkinan penyalahgunaan yang samar. Menurut saya ini mirip dengan ketika liputan tentang bahaya kebakaran di masyarakat tidak menyinggung perlunya sistem pencegahan seperti hukum kebakaran, alarm kebakaran, dan norma sosial. Saya ingin melihat artikel yang meliput siapa yang bertanggung jawab memasang kamera Flock, alasan pemasangannya, dan bagaimana memperoleh hasil positifnya saja (misalnya menangkap pencuri mobil) tanpa efek samping negatif seperti profiling, penguntitan, atau pelacakan terhadap orang yang bukan pelaku kejahatan

    • Siapa pun yang memegang kekuasaan cenderung berpikir bahwa mereka akan menggunakannya dengan benar. Secara teori, jika ada pemerintah yang sempurna dan memiliki seluruh kewenangan pengawasan, mungkin ada keuntungan seperti turunnya tingkat kejahatan, tetapi dalam praktiknya organisasi besar tidak pandai melakukan kontrol yang sangat rinci, dan bahkan jika pemimpin memulai dengan niat baik, masalah tetap muncul karena manajer menengah atau data yang tidak akurat. Pemimpin yang baik pun mudah salah memilih penerus, dan pada akhirnya kemungkinan besar akan muncul pemimpin yang korup. Selain itu, meskipun desentralisasi atau privasi mungkin tidak ideal, keduanya tetap harus dipertahankan sebagai sarana cadangan jika suatu saat sistem pengawasan terpusat mengalami kegagalan

    • Saya menganggap bagian yang mengatakan bahwa Obama mengejar reformasi pengawasan publik tetapi sikapnya berubah setelah benar-benar memegang tanggung jawab atas keselamatan rakyat hanyalah alasan pembenar. Karena ada risiko politik harus menanggung tanggung jawab atas kejadian buruk setelah reformasi pengawasan, walaupun kejadian itu sebenarnya tidak terkait pengawasan, pada akhirnya ia mengabaikan posisi yang dulu benar saat menjadi kandidat dan memilih menghindari masalah. Pencegahan kejahatan sangat mungkin dilakukan tanpa pengawasan massal, dan mengurangi kemiskinan juga dapat menekan tindakan buruk. Tidak ada kebijakan apa pun yang bisa menurunkan angka itu menjadi 0%, jadi meninggalkan reformasi yang benar hanya karena takut disalahkan adalah tanda kurangnya keberanian

    • Saya tidak sepenuhnya menentang pengawasan itu sendiri. Hanya saja, saya ingin itu transparan dan dibatasi seminimal mungkin. Misalnya, jika polisi menginginkan riwayat pencarian Google saya, mereka seharusnya wajib mendapatkan surat perintah dan membuktikan alasannya, lalu setelah jangka waktu tertentu pemilik akun harus diberi tahu. Jika akses ke ponsel diperlukan, yang benar adalah mendapatkannya melalui prosedur resmi lalu meminta kata sandi langsung kepada orangnya, bukan meretas diam-diam. Pendekatan ini, alih-alih melacak semua orang setiap saat, membuat tindakan tersebut cukup terlihat sehingga membantu mencegah penyalahgunaan. Selain itu, data bisnis yang dikumpulkan untuk tujuan pencegahan pencurian, seperti pengenalan wajah, tidak boleh dipakai untuk pemasaran dan analitik, dan harus diwajibkan oleh hukum untuk dihapus setelah jangka waktu tertentu

    • Ditekankan bahwa alasan pengawasan semacam ini diizinkan pada akhirnya adalah ‘ketidakpedulian’ publik

    • Alasan mengapa persepsi “tidak ada biaya jika masalah itu tidak perlu dibahas” begitu meluas adalah karena biaya kecil yang tidak jelas dipaksakan kepada semua orang, lalu dibungkus dengan narasi bahwa sesekali itu bisa menyelamatkan nyawa. Cara seperti ini digemari orang-orang berniat buruk dan para komentator tidak bertanggung jawab di mana pun di dunia. Masyarakat tidak mampu menangani dengan efektif kelemahan struktural yang berarti “kerugian kecil bagi tiap individu, tetapi kerugian besar jika dijumlahkan secara keseluruhan.” Jika seluruh warga AS menghabiskan 1 menit per hari demi menyelamatkan 1 nyawa per tahun, kerugian riilnya sebenarnya lebih besar daripada nyawa yang diselamatkan, tetapi jika dampaknya bersifat subjektif, tidak ada yang akan mempersoalkannya

  • Perusahaan bernama First Wap memungkinkan pelacakan orang. Produk inti perusahaan ini adalah perangkat lunak yang bekerja di level jaringan telekomunikasi. Poin pentingnya di sini adalah bahwa perusahaan telepon masih mendukung protokol lama bernama Signalling System 7 (SS7). Agar jaringan telepon dapat mengirim SMS atau panggilan berdasarkan lokasi pengguna, pertukaran sinyal permintaan lokasi adalah hal yang wajib. Kerentanan mendasarnya adalah jaringan-jaringan ini memproses perintah permintaan semacam itu tanpa memverifikasi siapa sebenarnya pihak pengirimnya dan untuk tujuan apa. Sinyal ini (pesan signalling) sama sekali tidak terlihat di ponsel pengguna dan hanya berpindah di antara nomor node jaringan yang disebut “Global Titles (GT)” saja

    • Sebagai ‘fakta menarik’, “jaringan lain” juga mencakup semua jaringan mitra roaming internasional. Artinya, dengan mengeksploitasi kerentanan SS7, melacak lokasi orang lain dari benua yang sama sekali berbeda pun memungkinkan

    • Saya menduga operator telekomunikasi memang menjual data pengguna itu sendiri. Ada juga berita bahwa FCC pernah menjatuhkan denda karena informasi seperti ini dijual tanpa persetujuan pengguna tautan referensi

  • Bahkan pada tahun 2025, kerentanan jaringan SS7 masih tetap ada. Penyerang dapat memasang femtocell (stasiun basis relay kecil) atau IMSI catcher (stasiun basis palsu) untuk mencegat lalu lintas SS7. GSM memang mengautentikasi identitas perangkat ke jaringan, tetapi jaringan tidak mengautentikasi identitasnya ke perangkat, sehingga mudah menggunakan IMSI catcher untuk mengarahkan ponsel agar terhubung. Bahkan pada LTE pun, penyerang mencoba mengakali keamanan dengan menurunkan koneksi melalui stasiun basis palsu. Referensi mekanisme serangan lebih rinci

  • Ada tulisan berjudul <i>Why the US still won’t require SS7 fixes that could secure your phone</i> (2019), yang menjelaskan bahwa FCC AS lamban menangani kerentanan SS7, bahkan mengabaikan saran teknis dari Department of Homeland Security (DHS), dan meskipun ada usulan best practice seperti penerapan berbagai sistem filtering, pada praktiknya tetap hanya mengandalkan implementasi sukarela tautan artikel

  • Akhir-akhir ini terasa aneh bahwa ‘rahasia’ seperti ini diberitakan media. Sumber di dalam artikel juga terasa sengaja dibuat samar. Mereka hanya menulis, “Lighthouse found a vast archive of data on the deep web”, tetapi bukankah itu pada akhirnya berarti perusahaan pengawasan tersebut begitu saja mengunggah data ribuan orang seperti ke bucket S3 yang terbuka? Faktanya, industri ini sering menyerang celah keamanan milik orang lain untuk menyadap dan mengawasi, tetapi data mereka sendiri justru kerap terekspos ke luar karena kesalahan mendasar. Kasus kebocoran TM_Signal juga disebabkan arsip file pesan pejabat tinggi AS yang disimpan begitu saja di S3 terbuka. Ironisnya, perusahaan keamanan yang hidup dari mencuri data orang lain malah melakukan kesalahan keamanan konyol dengan membiarkan data mereka sendiri bisa dilihat siapa saja

    • Bisa jadi orang-orang di industri ini terlalu terspesialisasi di bidangnya sendiri sehingga tidak punya pengalaman mengelola cloud. Sangat mungkin mereka menyalin-tempel konfigurasi S3 dari Stack Overflow lalu salah setting. Kalau menangani area di luar pekerjaan utama secara asal-asalan, kecelakaan seperti itu memang mudah terjadi. Jika bidang keahliannya berbeda, kesalahan semacam itu cukup bisa dipahami. Orang-orang seperti ini mungkin malah menganggap Anda lebih bodoh karena masih memakai SMS

  • Bagi yang tertarik, ada tulisan dari Lighthouse Reports yang menjelaskan metodologi investigasi pengawasan ini secara teknis dan rinci tautan penjelasan teknis

  • Isi ini mengingatkan saya pada presentasi lama di CCC (Chaos Communication Congress) berjudul ‘SS7: Locate. Track. Manipulate.’ dari tahun 2014 tautan video presentasi

    • Presentasi ‘Locating Mobile Phones using SS7’ yang dibawakan Tobias Engel di 25C3 pada 2008 adalah yang pertama tautan video

  • Artikel itu menyebut “1,5 juta catatan, lebih dari 14 ribu nomor unik, dan rekam pengawasan yang mencakup sekitar 160 negara”, jadi akan bagus jika ada situs seperti HIBP (Have I Been Pwned) untuk memeriksa apakah nomor saya termasuk di dalamnya

  • Stallman memang orang yang keras dan unik, tetapi ia benar ketika mengatakan bahwa perangkat yang berisiko melanggar privasi harus membuka semuanya sampai ke kode dan transistor