- HSBC mengirim pemberitahuan keliru bahwa email pelanggan memantul berdasarkan pixel pelacak untuk menilai penerimaan email, padahal pelanggan tersebut sebenarnya menerima email dengan normal
- Bank meminta pelanggan memperbarui alamat emailnya, tetapi akun pelanggan sudah mencatat alamat yang benar
- Analisis menunjukkan email HSBC menyisipkan pixel pelacak berbasis HTTP, yang berisiko mengekspos informasi pribadi seperti waktu penerimaan, frekuensi, dan alamat IP
- Karena pixel pelacak tidak berfungsi saat pemblokiran diaktifkan, keputusan bank yang menyimpulkan “email tidak diterima” berdasarkan hal itu dinilai sebagai penyalahgunaan teknis
- HSBC perlu beralih ke penghentian pelacakan tanpa enkripsi, penghormatan terhadap privasi, dan komunikasi pelanggan yang jelas
Pemberitahuan email bounce yang keliru dari HSBC
- HSBC mengirim surat pemberitahuan fisik kepada pelanggan yang menyatakan bahwa “email dipantulkan” dan meminta pembaruan alamat
- Pelanggan sebenarnya menerima dan membuka email HSBC dengan normal
- Hasil pemeriksaan akun online menunjukkan alamat email yang terdaftar sudah benar
- Dalam konsultasi chat dengan layanan pelanggan, yang diulang hanya jawaban formal bahwa “jika bank mengirim surat, maka alamat harus diubah”
- Baru setelah konsultasi via telepon, pelanggan mendapat jawaban bahwa “jika alamatnya benar, surat itu bisa diabaikan”
- Penulis menyarankan HSBC mengubah frasa “tindakan diperlukan” menjadi “perlu verifikasi alamat”
Struktur dan masalah pada pixel pelacak email
- Di bagian bawah email HSBC terdapat dua kode gambar berukuran 1×1 pixel
- Pixel ini digunakan sebagai alat pelacak yang mengakses server saat penerima membuka email untuk mencatat apakah email dibuka
- HSBC mengirim pixel ini melalui protokol HTTP, yang menciptakan celah keamanan karena pihak ketiga di jaringan dapat mengetahui fakta bahwa email telah dibuka
- Di lingkungan Wi-Fi publik, ada kemungkinan pengguna lain di jaringan yang sama dapat mendeteksi informasi tersebut
- Disebutkan juga risiko bahwa penyerang dapat menyisipkan gambar di bagian bawah email untuk memalsukannya sebagai pesan phishing
Ketidakandalan dan penyalahgunaan pixel pelacak
- Penulis menggunakan pengaturan pemblokiran pixel pelacak sehingga informasi pembukaan email tidak dikirim
- Ini adalah cara kerja asli email sebagaimana dirancang, di mana penerima dapat memilih apakah akan mengungkapkan status pembukaan atau tidak
- Karena tidak ada sinyal dari pixel, HSBC tampaknya salah mengira hal itu sebagai “email tidak diterima” lalu menandainya sebagai bounce
- Ini adalah contoh penyalahgunaan pixel pelacak bukan untuk analisis statistik, melainkan sebagai alat untuk menilai pelanggan secara individual
- Akibatnya, HSBC pada dasarnya mengirim pemberitahuan palsu bahwa “email dipantulkan”
Usulan perbaikan yang diajukan kepada HSBC
- Hentikan pelacakan tanpa enkripsi (HTTP): HTTPS perlu digunakan untuk mencegah paparan di jaringan saat email dibuka
- Jangan anggap pemblokiran pelacakan sebagai penolakan penerimaan: kegagalan pixel dapat terjadi karena berbagai alasan teknis
- Hentikan memantau kebiasaan email pelanggan: bank yang sudah memiliki cukup banyak data pribadi tidak perlu menambah pengawasan lagi
- Lakukan validasi alamat email dengan cara verifikasi langsung: prosedur berbasis persetujuan eksplisit seperti “klik tautan konfirmasi” lebih dianjurkan
- Patuhi prinsip etika data: sesuai ‘prinsip penggunaan data dan AI yang etis’ yang dipublikasikan HSBC, perlu memastikan kesesuaian tujuan dan transparansi
Kesimpulan
- HSBC salah memahami batas keandalan pixel pelacak sehingga salah menilai email pelanggan
- Kasus ini menunjukkan bahwa praktik pengumpulan data ala kapitalisme pengawasan telah merambah hingga operasional lembaga keuangan
- Penulis menekankan bahwa HSBC harus mengakui kesalahan teknis tersebut dan memperkuat penggunaan data yang transparan serta perlindungan privasi pelanggan
1 komentar
Komentar Hacker News
Cukup mencolok bahwa pada 2026 mereka masih menyajikan konten lewat HTTP
Seandainya tinjauan keamanan dilakukan dengan benar, ini pasti akan ketahuan; sepertinya langkah itu benar-benar dilewati
Saya bekerja menangani data perbankan, dan sistem internalnya juga sama-sama berantakan
Bahkan di bank yang sama, format tanggal CSV berbeda-beda, dan deskripsi transaksi dipotong-potong tanpa standardisasi
Meski tekanan regulasinya sangat besar, kondisinya tetap begini karena kebanyakan bank memperlakukan infrastruktur digital seperti pipa tua
Tapi tiap bank memotong panjang memo secara berbeda, atau seperti AMEX yang menukar field NAME dan MEMO, jadi tetap kacau
Meski begitu, setidaknya standar minimumnya memang ada
Dokumentasi terkait: Open Financial Exchange, Financial Data Exchange
Bahkan layar ATM pun terasa sama-sama kuno
Misalnya ACME HTTP-01 challenge, penerbitan sertifikat, dan respons CRL/OCSP masih memakai HTTP
Lihat RFC8555, dokumentasi Let's Encrypt
Jadi generalisasi seperti “HTTP sekarang sudah tidak berguna” itu keliru
HTTPS juga menukar SNI, jadi tetap bisa diketahui siapa yang sedang berkomunikasi dengan HSBC
Sisa URL-nya hanya ID pelacakan yang dianonimkan, jadi ancaman nyatanya tampak tidak terlalu besar
Soalnya memakai HTTPS membuat konfigurasi dan pengelolaan sertifikat jadi lebih rumit
Saya penasaran kenapa hal seperti ini bisa terjadi
Di IT perbankan, untuk menerapkan satu fitur pelacakan email saja biasanya melibatkan puluhan orang dan memakan waktu setahun
Di proses itu pasti ada pengembang yang bilang “HTTP berbahaya di 2026”, tapi kemungkinan besar akhirnya diabaikan oleh manajer menengah
Pihak manajemen terus bertanya kenapa ada orang yang membuka tapi tidak tercatat, atau kenapa ada yang tidak membuka tapi tercatat
Para penulis melihat open rate lebih tinggi daripada click-through rate, jadi itu dijadikan metrik kinerja
Pada akhirnya semua orang memakai metrik yang tidak akurat agar merasa dirinya bekerja dengan baik
Semua keputusan diambil manajemen, dan pengembang hanya mengerjakan apa yang diperintahkan
Saya juga pernah bekerja di bank besar; kalau bukan orang yang pergi dalam beberapa tahun, ya tinggal jadi “orang yang menekan tombol lalu menerima gaji”
Jauh lebih baik daripada email model “ada pesan penting, silakan login”
Fitur kenyamanan seperti aplikasi apartemen makin lama makin dipaksakan, dan akhirnya semua pengguna harus ikut
Dalam proses itu, kontrol pribadi makin berkurang
Gaji maupun lingkungannya tidak istimewa, dan ruang untuk inovasi pun nyaris tidak ada
NAB Australia juga melakukan hal yang sama
Kalau email tidak memuat gambar jarak jauh, mereka mengirim surat bahwa “email tidak tersampaikan” dan mengalihkan ke rekening koran kertas
Padahal email sebenarnya tetap masuk dengan baik
Mereka menonaktifkan otomatis notifikasi saldo karena menganggap saya tidak membaca email
Padahal saya hanya mematikan read receipt dan memblokir resource jarak jauh
Akhirnya saya pindah bank
Kotak surat apartemen sering salah kirim atau dicuri, bahkan kadang terbakar
Dulu saya menerima spam pemasaran dari Bank of America, dan tidak ada opsi berhenti berlangganan
Jadi saya menonaktifkan alamat email itu, lalu mereka mengirim surat meminta perbaikan karena “email memantul”
Akhirnya saya biarkan nonaktif selama beberapa tahun sampai belakangan baru ada fitur pengaturan preferensi email
Istri saya sampai sekarang masih menerima spam surat dari Citi, dan di sana juga tidak ada cara berhenti berlangganan
Melihat hal seperti ini, keputusan tim IT HSBC yang menyimpulkan “email tidak dibaca” berdasarkan tracking pixel benar-benar bodoh
Saat ini kebanyakan klien email sudah memblokir gambar secara default
Kemampuan teknis HSBC benar-benar buruk
Aplikasi online banking mereka rasanya setara awal 2000-an, dan ada anggota keluarga saya yang masih memakainya tapi terus mengalami error
Itu bukan kesalahan pengguna, melainkan masalah sistem
Kalau ingin bank mendengarkan pelanggan, cara paling efektif adalah menutup rekening
Tentu saja harus siap benar-benar pindah
Kalau masalahnya tercatat secara resmi, tindakan bisa diambil saat terulang
Lihat artikel The Guardian
Saya juga terdampak saat itu, lalu pindah ke Wise
Capital One juga melakukan hal serupa
Bedanya, mereka dengan jelas memberi tahu bahwa “Anda belum membuka email belakangan ini”, jadi saya setidaknya paham maksudnya
Padahal sebenarnya saya membuka emailnya, hanya saja memblokir tracking pixel
Tidak ada alasan bagi saya untuk menyelesaikan masalah mereka
Gmail mengunduh gambar lebih dulu, jadi sebenarnya tracking pixel bisa terpanggil bahkan ketika pengguna belum membukanya
Saya belum mengujinya sendiri, tapi mungkin layanan email lain juga mirip
Karena sebagian besar layanan email memuat lebih dulu gambar di sisi server untuk memindai malware,
pada praktiknya pelacakan pixel hampir selalu ditangani oleh penyedia layanan email eksternal
Saya juga mengalami hal yang sama di HSBC
Prosesnya sangat bagus, sampai-sampai saya bisa membuka rekening dalam 10 menit dengan identitas digital dan menerima kartu Apple Pay dalam sehari
Tapi setelah menolak menerima email pemasaran, mereka mengirim email “welcome upsell”, lalu saat email itu memantul mereka memblokir rekening saya
Akhirnya saya mengalami situasi yang sama seperti OP
Charles Schwab juga mirip
Meski email masuk dengan baik, mereka bilang “tidak tersampaikan” lalu beralih ke rekening koran kertas
Masalah sebenarnya adalah pemblokiran tracking pixel
Email dengan domain kustom bermasalah, tapi alamat ProtonMail berfungsi baik
Mungkin karena ProtonMail tidak memblokir tracking pixel
Sekarang saya memilih untuk tidak peduli saja
Surat kertas membuat mereka mengeluarkan uang, jadi semoga suatu saat mereka sadar