AS Menyelidiki Klaim bahwa Percakapan WhatsApp Tidak Benar-Benar Privat

 (bloomberg.com)
2 poin oleh GN⁺ 2026-02-02 | 1 komentar | Bagikan ke WhatsApp
  • Agen khusus Departemen Perdagangan AS sedang menyelidiki klaim dari mantan pekerja kontrak Meta, yang menyebut adanya kemungkinan akses ke pesan WhatsApp
  • Para mantan kontraktor menyatakan bahwa mereka dan sebagian pegawai Meta memiliki hak "akses tanpa batas (unfettered access)"
  • Klaim ini bertentangan dengan posisi resmi Meta yang menyatakan WhatsApp terenkripsi dan bersifat pribadi
  • Hal yang sama juga tercantum dalam pengaduan pelapor pelanggaran yang diajukan ke Komisi Sekuritas dan Bursa AS (SEC) pada 2024
  • Penyelidikan dan pengaduan ini adalah hal yang sebelumnya belum pernah diungkap ke publik, dan berdampak besar pada keandalan privasi messenger

Ringkasan penyelidikan pemerintah AS

  • Lembaga penegak hukum AS sedang menyelidiki klaim dari mantan pekerja kontrak Meta Platforms Inc. mengenai kemungkinan akses ke pesan WhatsApp
    • Menurut laporan penyidik dan wawancara yang diperoleh Bloomberg News, muncul dugaan bahwa pegawai Meta bisa mengakses percakapan WhatsApp
  • Pihak yang melakukan penyelidikan disebut sebagai agen khusus Departemen Perdagangan AS (Special Agents with the US Department of Commerce)
  • Isi penyelidikan ini berkaitan langsung dengan kredibilitas klaim Meta tentang enkripsi end-to-end dan kebijakan perlindungan percakapan pribadi

Klaim para mantan kontraktor

  • Para mantan kontraktor menyatakan bahwa mereka dan sebagian pegawai Meta "dapat mengakses pesan WhatsApp tanpa batas (unfettered access)"
    • Pernyataan ini didasarkan pada catatan penegakan hukum, orang-orang yang mengetahui kasus tersebut, serta kesaksian para kontraktor itu sendiri
  • Salah satu kontraktor berbicara dengan syarat anonim karena khawatir akan kemungkinan pembalasan

Pelaporan pelanggaran dan lembaga terkait

  • Klaim yang sama juga tercantum dalam pengaduan pelapor pelanggaran (whistleblower complaint) yang diajukan ke Komisi Sekuritas dan Bursa AS (SEC) pada 2024
  • Pengaduan tersebut dan penyelidikan Departemen Perdagangan adalah fakta yang sebelumnya belum dipublikasikan, dan pertama kali dilaporkan oleh Bloomberg

Benturan dengan posisi resmi Meta

  • Meta selama ini terus menyatakan bahwa WhatsApp bersifat pribadi dan terenkripsi
  • Namun, penyelidikan dan kesaksian kali ini memunculkan kemungkinan yang bertentangan dengan penjelasan resmi Meta

Arti penting kasus ini

  • Kasus ini memunculkan pertanyaan tentang keandalan enkripsi layanan messenger dan tingkat perlindungan privasi pengguna
  • Fakta bahwa lembaga pemerintah AS telah langsung memulai penyelidikan membuat isu transparansi keamanan platform messenger global kembali mendapat sorotan

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-02
Pendapat Hacker News

  • Enkripsi ujung ke ujung (E2EE) WhatsApp telah diperiksa secara independen
    Bukan seluruh source code yang ditinjau, melainkan hanya bagian inti kriptografinya
    Masalah utamanya adalah server WhatsApp menentukan pengguna mana yang akan dimasukkan ke dalam grup chat
    Dan Goodin membahas hal ini dalam artikel Ars Technica

    • Saya rasa masalahnya adalah mereka tidak melihat seluruh source code
      Facebook pernah mengirim data melalui localhost untuk mengakali langkah-langkah keamanan mobile
      Aplikasi bisa mengirim data ke berbagai arah, dan bahkan membaca pesan melalui push notification
      Artikel terkait: Cybersecurity News
    • APK WhatsApp memuat skrip Google Tag Manager bahkan di lingkungan instalasi di luar Google Play
      Skrip itu dimuat berulang kali untuk setiap chat, dan bisa dikonfirmasi juga dengan firewall MitM
      Saya heran kenapa audit seperti ini selalu hanya membahas bagian enkripsinya
      Jika klien mengirim pesan plaintext ke server lain atau layanan terjemahan, enkripsi saat transmisi menjadi tidak berarti
    • Server bisa menambahkan anggota sembarang ke grup, tetapi klien menampilkan keberadaan anggota baru dan pesan sebelumnya tidak dibagikan
      Namun jika klien juga dikompromikan pada saat yang sama, tampilan itu bisa disembunyikan
      Menurut artikel Livemint terbaru, WhatsApp sedang mengembangkan fitur untuk membagikan pesan lama kepada anggota baru, sehingga ada potensi pelemahan keamanan
      Ini peringatan bahwa tak seorang pun benar-benar kebal ketika perubahan kebijakan terjadi begitu cepat
    • Server WhatsApp juga menentukan kunci publik mana yang dikaitkan dengan nomor telepon
      Sulit untuk benar-benar mempercayainya tanpa verifikasi langsung tatap muka
    • Terima kasih karena menilai teknologi berdasarkan implementasi nyatanya

  • Saya rasa klien E2EE tertutup tidak bisa sepenuhnya aman
    Deteksi backdoor secara realistis hanya mungkin pada open source, dan reproducible builds itu penting
    Kerentanan remote code execution yang halus dan hanya bisa dieksploitasi dari server pun bisa menjadi backdoor

    • Ada yang berpendapat bahwa deteksi backdoor hanya mungkin di level biner
      Mustahil menemukan backdoor tersembunyi dari source code jika kita tidak sepenuhnya memahami perilaku compiler
    • Menyebut filosofi Stallman, ada yang beranggapan bahwa dari sisi keamanan, software tertutup justru bisa diuntungkan oleh efek obfuscation otomatis
      Open source memang punya banyak kelebihan, tetapi tidak perlu mengklaim keunggulan keamanan tanpa dasar

  • Sebagai mantan engineer WhatsApp, saya yakin timnya mencurahkan upaya besar untuk implementasi E2EE
    Tidak mungkin membaca pesan yang terenkripsi
    Secara bisnis pun WhatsApp Business API sudah memberi pendapatan yang cukup

    • Facebook lebih tertarik pada pengaruh terhadap perilaku pengguna dan penjualan perhatian daripada sekadar pendapatan langsung
    • Ada masa ketika Signal dan WhatsApp memakai alamat yang sama di Google Play, jadi saya penasaran apakah ada kolaborasi dalam proses integrasi protokol Signal
    • Ini pertanyaan yang menanyakan mengapa Andreas Schjelderup tertangkap saat membagikan konten skala kecil
    • Ingin tahu apakah server bisa melakukan serangan man-in-the-middle (MitM) pada koneksi antara dua klien,
      dan apakah klien bisa langsung membandingkan kunci lawan bicara atau memverifikasi isi paket
    • Jika hanya satu engineer saja menerima arahan berbeda, maka seluruh upaya privasi bisa menjadi sia-sia

  • Matthew Green baru-baru ini menilai dalam posting Bluesky bahwa
    gugatan yang menyatakan WhatsApp punya akses ke plaintext adalah klaim pancingan yang lemah dasar

  • Pernyataan Meta maupun mantan pihak WhatsApp, serta hasil penyelidikan, semuanya tidak bertentangan dengan klaim whistleblower
    Agar benar-benar bisa dipercaya, menurut saya perlu ada pernyataan dalam dokumen resmi SEC bahwa “Meta tidak pernah mengakses pesan WhatsApp dengan cara apa pun, dan tidak akan bisa melakukannya di masa depan”

  • Beberapa skenario hipotetis diajukan

    1. Mengumpulkan pesan terenkripsi lalu mencoba mendekripsinya dengan komputasi kuantum
    2. Menyimpulkan isi sebenarnya melalui analisis metadata
      Misalnya, jika saya mengunjungi suatu halaman lalu mengirimkan tautannya ke teman, dan teman itu kemudian mengunjungi halaman yang sama, isi pesan bisa diduga
    • (1) ditertawakan sebagai hal yang tidak realistis
      Perusahaan FAANG ternyata tidak setangguh itu secara teknis
      Di internal, proyek bernama seperti ‘Decryption at Scale’ sering berakhir hanya sebagai dokumen untuk poin pencapaian
    • Seperti pada (2), dengan metadata yang cukup saja kita sudah bisa mengetahui pola hidup dan lokasi seseorang
      Tidak perlu mendekripsi konten sebenarnya
    • Dekripsi dengan komputasi kuantum itu secara ilmiah nyaris mustahil
      Sama saja seperti mengklaim sudah memiliki teknologi level 2026 sejak tahun 2016
    • Pemerintah AS mungkin bukan ingin membaca pesan sekarang juga, melainkan menyimpannya untuk dibaca di masa depan
      Referensi terkait: Utah Data Center
    • Masalah sebenarnya adalah backup tidak sepenuhnya E2EE
      Kunci dipegang oleh server, bukan oleh pengguna

  • Saya penasaran bagaimana penyelidikan seperti ini sebenarnya dilakukan
    Apakah mereka hanya mengajukan pertanyaan, atau bersama pakar IT juga menganalisis aplikasi secara teknis,
    dan apakah mereka menuntut verifikasi source code yang sama dengan kode yang berjalan di perangkat pengguna

    • Langkah pertama adalah adanya efek cegah dari rasa takut ketahuan berbohong dalam penyelidikan pemerintah
      Tetapi itu tetap tidak bisa sepenuhnya dikesampingkan
    • Siapa pun bisa mengaudit biner klien
    • Sangat mungkin banyak pemerintah sudah menganalisisnya lewat reverse engineering

  • Saya rasa inti dari semua enkripsi adalah manajemen kunci
    Jika Anda tidak mengendalikan kuncinya sendiri, pada akhirnya orang lainlah yang mengendalikannya
    WhatsApp yang otomatis menyinkronkan pesan antarperangkat adalah kompromi antara kemudahan dan keamanan
    Sebagian besar pengguna tidak memverifikasi langsung fingerprint lawan bicara mereka

  • Perusahaan-perusahaan pelanggar privasi terbesar di dunia punya semua insentif untuk melemahkan privasi pengguna
    Model bisnis mereka sendiri berbasis pada pengumpulan data dan manipulasi perilaku
    Karena itu, bahkan tanpa bukti pun, tidak mempercayai mereka adalah pilihan yang rasional