Apakah Apple Gift Card aman?

 (daringfireball.net)
1 poin oleh GN⁺ 2025-12-19 | 1 komentar | Bagikan ke WhatsApp
  • Seorang pengguna mengalami akun Apple terkunci dan kehilangan akses ke seluruh konten setelah me-redeem Apple Gift Card senilai $500 yang telah dimanipulasi
  • Kartu tersebut tampak seperti produk asli yang dibeli di toko ritel offline besar, tetapi segera setelah ditukar akunnya dinonaktifkan sehingga seluruh riwayat pembelian iCloud dan App Store hilang
  • Adam Engst dari TidBITS menyatakan bahwa karena risiko seperti ini, “Apple Gift Card pada dasarnya harus diperlakukan seperti malware digital,” dan mendesak orang untuk menghindari pembelian maupun penggunaannya
  • Tim Executive Relations Apple menyelidiki insiden ini, tetapi penyebab penonaktifan akun dan prosedur pemulihannya tidak transparan, lalu akun tersebut dipulihkan seminggu kemudian
  • Kasus ini menyoroti kekhawatiran atas keandalan Apple Gift Card dan ketidakjelasan sistem keamanan akun

Kasus penguncian akun Apple milik Paris Butterfield-Addison

  • Butterfield-Addison membeli dan menukarkan Apple Gift Card senilai $500 di peritel besar, dan tak lama kemudian akun Apple miliknya terkunci serta seluruh riwayat pembelian media dan akses iCloud diblokir
    • Ia mempublikasikan kejadian ini di blog pribadinya, dan berbagai media seperti Daring Fireball, Michael Tsai, Nick Heer, AppleInsider, dan The Register ikut memberitakannya
    • Tim Executive Relations Apple menyelidiki kasus tersebut, tetapi pada awalnya tidak ada pemulihan akun maupun penjelasan penyebabnya
  • Gruber menyebut jumlah $500 yang relatif besar mungkin menjadi bagian dari masalah, tetapi karena Apple tidak mengungkap alasan resminya, hal itu tidak bisa dipastikan
    • Apple membatasi nilai maksimum gift card hingga $2.000 di AS, sehingga nominal $500 sendiri bukan nilai yang tidak wajar
Iklan

Kontroversi soal keamanan Apple Gift Card

  • Adam Engst dari TidBITS berpendapat bahwa “me-redeem gift card yang telah dimanipulasi bisa membuat akun terkunci,” dan bahwa orang perlu menghindari pembelian Apple Gift Card serta menyebarkan informasi soal risikonya
    • Ia mengibaratkannya sebagai “digital Russian roulette” dan memperingatkan bahwa kartu ini berisiko bahkan untuk dijadikan hadiah
  • Setelah kejadian ini, Gruber mengatakan ia akan menggunakan gift card langsung di Apple Store dan tidak akan memakainya untuk pembelian yang terhubung ke akun Apple
    • Ia menyoroti bahwa modus penipuan makin canggih, sehingga bahkan sumber kartu yang tampak tepercaya pun tidak bisa menjamin keamanan sepenuhnya

Ketidakjelasan proses penonaktifan dan pemulihan akun

  • Gruber menyoroti bahwa tidak jelas apakah keputusan penonaktifan akun Apple dibuat oleh manusia atau oleh algoritma deteksi penipuan otomatis
    • Ia mengatakan, “Tampaknya Apple seharusnya bisa memulihkan akun hanya dengan membalik satu sakelar, tetapi kenyataannya tampaknya tidak demikian”
  • Ia juga menyebut bahwa jika pemulihan akun tidak memungkinkan, Apple mungkin akan mengembalikan dana seluruh pembelian pengguna dan meminta mereka membuat akun baru
    • Prosedur seperti itu berpotensi menyebabkan hilangnya data pengguna dan riwayat pembelian secara permanen
    Iklan

Perkembangan setelah insiden

  • Tak lama setelah artikelnya dipublikasikan, Butterfield-Addison memperbarui bahwa akunnya telah dipulihkan oleh petugas dari tim Executive Relations Apple
    • Meski pemulihan berhasil dilakukan, alasan akun itu terkunci dan mengapa penyelesaiannya memakan waktu seminggu masih belum terjawab
  • Bahkan setelah masalah terselesaikan, Gruber menegaskan bahwa pertanyaan mendasar tentang “seberapa aman me-redeem Apple Gift Card” tetap ada

Pertanyaan yang tersisa dan implikasinya

  • Kasus ini mengungkap kerentanan sistem Apple Gift Card dan kurangnya transparansi dalam prosedur pengelolaan akun
  • Terbukti bahwa penguncian akun bisa terjadi bahkan melalui jalur pembelian yang normal, sehingga memengaruhi kepercayaan pengguna
  • Apakah sistem keamanan internal dan dukungan pelanggan Apple terlalu bergantung pada otomatisasi kini menjadi salah satu poin perdebatan utama

Bacaan terkait

1 komentar

 
GN⁺ 2025-12-19
Komentar Hacker News

  • Kasus ini memunculkan banyak topik. Di era ketika akun Apple/iCloud sudah menjadi kebutuhan sehari-hari seperti sekarang, fakta bahwa akun bisa dibekukan semudah ini adalah masalah serius
    Akses ke pesan, Apple Wallet, identitas digital, langganan, pembelian media, dan lainnya bisa terputus seketika. Daripada sekadar menasihati “jangan terlalu bergantung pada teknologi”, menurut saya perlu ada mekanisme pencegahan untuk situasi seperti ini
    Selain itu, saat perceraian atau berpisah tidak ada fitur untuk membagi riwayat pembelian, dan juga mustahil untuk memisahkan diri dari akun keluarga atau menempatkan anak ke beberapa keluarga. Apple perlu menangani skenario nyata seperti ini dengan lebih baik

    • Rasanya tingkat layanan saat ini tidak berbeda dari 25 tahun lalu. Dulu kehilangan email bukan masalah besar, tetapi sekarang satu akun terhubung ke ratusan layanan penting
      Namun staf dukungan pelanggan hampir tidak bertambah, dan sebagian besar hanya bergantung pada call center outsourcing yang membacakan FAQ
    • Akun Apple dan Google sangat penting, tetapi penipu bisa membuat ribuan akun per hari. Karena itu, kemungkinan cukup banyak dari keseluruhan akun adalah akun palsu
      Pengguna nyata tidak ingin spam, jadi Apple memang harus cepat memblokir akun curang. Namun pada saat yang sama akun normal juga harus dilindungi, jadi dibutuhkan keseimbangan
      Jika Apple melonggarkan pemblokiran akun, sebagai gantinya akan diperlukan verifikasi identitas yang lebih kuat. Artinya, untuk menjaga akun lebih aman, tingkat pengawasan hampir pasti akan meningkat
    • Menurut saya iCloud adalah layanan yang terlalu dibesar-besarkan. Selama lama bahkan enkripsi data yang disimpan pun tidak ada. Saya memakai Time Machine dan pengelola kata sandi, dan menyimpan cadangan di brankas
    • Sebagian besar foto saya ada di Google Photos, jadi saya merasa cemas. Rasanya saya perlu membuat cadangan ganda ke Amazon atau iCloud
    • Google juga sama tidak efisiennya. Tidak ada cara untuk benar-benar memblokir seseorang yang ada di kontak. Setelah berpisah dengan salah satu mantan co-founder, saya pernah kesulitan saat bekerja sama dengan teman yang namanya sama karena autofill. Di dunia nyata, fitur pemutusan relasi seperti ini benar-benar dibutuhkan

  • Menurut saya batas antara penggunaan kartu hadiah yang sah dan penggunaan untuk penipuan sangat tipis. Dulu saya pernah mencoba ‘manufactured spend’ untuk mengumpulkan poin kartu kredit, dan itu nyaris terlihat seperti pencucian uang
    Dengan kartu hadiah tertentu, saya bisa mengumpulkan poin dua kali lalu langsung mencairkannya. Pada akhirnya celah itu cepat ditutup

    • Saya juga pernah mengumpulkan mil maskapai dengan cara serupa lalu pergi ke Eropa. Saya membeli money order dengan kartu Visa prabayar, lalu menyetorkannya kembali untuk memutar poin tanpa henti. Saya masih ingat tatapan curiga para kasir
    • Pada praktiknya itu nyaris tidak berbeda dari pencucian uang. Bedanya hanya bahwa dana tersebut bukan dana ilegal. Legal atau ilegal akhirnya hanya dibedakan oleh niat
    • Selain itu, bahkan kartu hadiah yang tampak sah pun mungkin sudah terhubung dengan penipuan di suatu titik dalam rantai distribusi. Jika korban melapor, pengguna yang sama sekali tidak bersalah juga bisa ikut dirugikan

  • Syukurlah kasus ini terselesaikan, tetapi masih banyak pertanyaan

    1. Mengapa mendaftarkan kartu hadiah bermasalah bisa menyebabkan seluruh akun dibekukan
    2. Mengapa dukungan tidak bisa didapat tanpa perhatian media
    3. Apakah perlu membatasi perusahaan tumbuh terlalu besar sampai dukungan pelanggan menjadi mustahil
      Bank menangani masalah seperti ini secara bertahap, tetapi platform seperti Facebook kadang memblokir akun secara permanen hanya dalam satu hari
    • Secara hukum bank tidak bisa membekukan uang pelanggan selamanya, dan prosedur verifikasi identitasnya juga jelas. Sebaliknya, akun online hampir tidak diatur secara hukum, dan bahkan tidak mengumpulkan informasi identitas
    • Namun bank juga kadang membekukan akun tanpa alasan yang jelas. Hanya soal beruntung saja, dan ini bisa terjadi pada siapa pun
    • Kemungkinan besar Apple salah mengira pengguna sebagai pelaku kriminal. Tetapi saya tidak bisa memahami mengapa yang dicurigai justru korban, bukan pelaku sebenarnya. Menurut saya masalahnya bukan skala, melainkan budaya mengabaikan pelanggan
    • Mungkin saja namanya mengandung kata seperti ‘Butt’ lalu terkena algoritma penyaringan otomatis. Tetap saja, tidak ada jawaban mendasar

  • Artikel terkait: Apple has locked my Apple ID, and I have no recourse — 1730 poin, 1045 komentar

  • Intinya adalah ilusi kepemilikan. Orang mengira mereka memiliki akun dan data mereka, tetapi kenyataannya tidak demikian. Kata “membeli” sendiri menimbulkan kesalahpahaman. Secara hukum seharusnya disebut “menyewa” atau “pemberian hak pakai terbatas”

    • Saat membuat akun Apple, sejak awal sudah ada syarat layanan yang memungkinkan akun ditutup kapan saja. Daripada berbicara soal konsep “kepemilikan”, yang lebih dibutuhkan adalah sesuatu seperti piagam hak konsumen. Pengguna yang sah harus punya hak untuk mengajukan banding atas penutupan akun
    • Justru menurut saya hukum harus menjamin ‘pembelian’ yang benar-benar nyata. Mengarah pada pelemahan hak warga bukanlah hal yang benar

  • Sekarang saya akan memberi tahu keluarga bahwa kartu hadiah Apple berisiko dan sebaiknya jangan digunakan. Sulit juga menjelaskan sumbernya, jadi larangan total tampaknya paling aman

  • Jelas ini adalah kartu hadiah yang tidak aman. Kasus ini menunjukkan betapa terikatnya kita pada ekosistem digital. Dulu saya tanpa pikir panjang menekan “Login with Google/Apple”, sekarang saya akan berpikir dua kali

    • Seorang pegawai Apple menyarankan agar “kartu hadiah harus dibeli langsung dari Apple”. Ini tampaknya solusi paling realistis
      Pada akhirnya, kartu hadiah yang dijual di toko ritel hanyalah umpan bagi penipu. Saya bahkan merasa bisa saja menuntut peritel yang menjual produk seperti ini lewat gugatan kecil
    • Saya tidak pernah memakai tombol social login untuk akun penting. Saya hanya memakainya untuk akun sekali pakai

  • Dari sudut pandang peritel, masalah ini juga sulit. Ini karena kartu hadiah adalah sarana nomor satu untuk penipuan pembayaran. Karena bisa dipakai seperti uang tunai dengan kartu curian, sistem risiko bereaksi sangat sensitif
    Tetapi itu bukan berarti kerugian pelanggan boleh diabaikan

    • Kalau begitu, hentikan saja penjualan kartu hadiah
    • Beberapa toko hanya mengizinkan pembelian kartu hadiah dengan uang tunai. Itu bukan solusi sempurna, tetapi setidaknya semacam penyangga
    • Saya tidak setuju dengan logika ini. Seperti kata Patrick McKenzie, ada konsep “tingkat penipuan optimal bukanlah 0”. Salah kalau demi menghentikan semua penipuan justru kerugian pelanggan menjadi lebih besar
      Perusahaan harus mau menanggung tingkat penipuan tertentu sebagai biaya. Tulisan terkait
    • Apple bisa melacak baik kartu pembelian maupun pengguna. Masalahnya adalah algoritma false positive yang ikut memblokir pengguna normal

  • Ini bisa diselesaikan karena korbannya orang terkenal, tetapi orang biasa tidak punya cara untuk menyelesaikan masalah seperti ini. Strukturnya menuntut orang memahami penyebab teknis, menulis tentangnya, membuatnya menyebar ke media, lalu baru PR turun tangan
    Pada akhirnya Apple dan Google bukan tempat yang cukup tepercaya untuk menitipkan data

    • Saya juga pernah mengalami hal serupa di Steam. Akun saya diblokir karena masalah pembayaran, dan saya hampir kehilangan game senilai ribuan dolar. Saya baru bisa memulihkannya setelah menyerahkan dokumen bank, tetapi responsnya seperti “kami beri toleransi sekali ini saja”
    • Ini memang bercanda, tetapi untuk menyelesaikan masalah seperti ini mungkin perlu menyelenggarakan konferensi pengembang Apple sendiri.
      Secara teknis, sistem kartu hadiah bisa mengurangi penipuan jika menambahkan fungsi deteksi aktivasi ganda
    • Melihat kejadian seperti ini, saya jadi berpikir Apple lebih baik menutup bisnis kartu hadiah. Sebagian besar akun penipuan berasal dari pasar ini
    • Seperti saat RCA (analisis akar penyebab) dipublikasikan ketika terjadi gangguan besar, Apple juga harus mengeluarkan RCA resmi untuk kasus ini
    • Setelah melihat kasus ini, memikirkan foto-foto saya yang dititipkan di iCloud membuat saya memutuskan tidak akan pernah memakai kartu hadiah Apple

  • Saya juga baru-baru ini mengalami hal serupa. Sistem kartu hadiah Apple terasa mencurigakan. Mungkin untuk menggelembungkan angka penjualan, atau mungkin keamanan diperketat karena lonjakan penipuan
    Pelajaran saya adalah sebagai berikut

    1. Kelola kartu hadiah untuk pembelian perangkat keras dengan Apple ID terpisah
    2. Simpan semua struk — itu satu-satunya bukti
    3. Tim dukungan Apple siap memperlakukan pengguna seperti penipu
    • Belakangan ini di Target dan tempat lain juga terjadi lonjakan penipuan kartu hadiah baru. Jika memungkinkan, sebaiknya gunakan langsung di toko saja
    • Selain itu, tanpa pengaruh blog, Apple bahkan tidak peduli. Seperti Buttfield-Addison, meskipun ada bukti, tetap diabaikan