Larangan penjualan data lokasi presisi

 (lawfaremedia.org)
2 poin oleh GN⁺ 3 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Sistem pengawasan berbasis adtech AS Webloc mengumpulkan dan menjual data lokasi presisi dari hingga 500 juta perangkat seluler di seluruh dunia
  • Data ini mencakup pengenal perangkat, koordinat, dan profil aplikasi, dan dibeli serta digunakan oleh berbagai organisasi pemerintah seperti polisi, militer, dan lembaga federal AS
  • Webloc terintegrasi dengan platform Tangles milik Penlink, sehingga memungkinkan identifikasi individu tanpa surat perintah dengan menghubungkan perangkat anonim dan akun sosial
  • Data seperti ini juga dapat dijual kepada badan intelijen asing, sehingga menimbulkan risiko keamanan nasional, sementara ketiadaan kontrol dan pengawasan hukum menjadi masalah utama
  • Amerika Serikat perlu melampaui sekadar pembatasan penggunaan dan melarang pembuatan serta penjualan data lokasi presisi itu sendiri, dan undang-undang larangan di negara bagian Virginia dinilai sebagai contoh pertama

Realitas sistem pengawasan Webloc

  • Menurut investigasi Citizen Lab, sistem pengawasan berbasis adtech AS Webloc sedang mengumpulkan dan menjual data dari hingga 500 juta perangkat seluler di seluruh dunia
    • Datanya mencakup pengenal perangkat, koordinat lokasi, dan informasi profil aplikasi
    • Webloc awalnya dikembangkan oleh Cobweb Technologies, lalu setelah merger dengan Penlink pada 2023, kini dijual oleh Penlink
  • Proposal teknis yang bocor secara rinci menyebutkan bahwa Webloc dapat digunakan untuk melacak perangkat tertentu atau menelusuri target
    • Contohnya, ada kasus seorang pria di Abu Dhabi yang dilacak lebih dari 12 kali dalam sehari dan kasus dua perangkat yang terdeteksi berada di Rumania dan Italia secara bersamaan
    • Citizen Lab menyebut tingkat detail data ini sebagai sesuatu yang “mengerikan”

Pemanfaatan oleh lembaga pemerintah dan penegak hukum

  • Pelanggan Webloc mencakup Department of Homeland Security (DHS), Immigration and Customs Enforcement (ICE), unit militer AS, Bureau of Indian Affairs Police, serta kepolisian negara bagian California, Texas, New York, dan Arizona
    • Departemen Kepolisian Tucson menggunakan Webloc untuk mengidentifikasi tersangka pencurian rokok berantai, dengan melacak satu perangkat yang berulang kali berada di dekat lokasi kejadian lalu menemukan alamat tersangka
  • Webloc bukan produk utama Penlink, melainkan fitur tambahan dari platform analisis web dan media sosial bernama Tangles
    • Tangles dapat menelusuri akun online berdasarkan nama, email, nomor telepon, dan username, lalu menganalisis postingan, relasi, aktivitas, dan minat
    • Platform ini menyediakan analisis geospasial, analisis jaringan, pembuatan kartu target, dan fitur peringatan
    • Jika diintegrasikan dengan Webloc, platform ini memungkinkan pengaitan antara pengenal perangkat anonim dan akun sosial, sehingga identifikasi individu dapat dilakukan tanpa surat perintah

Masalah hukum, etika, dan risiko keamanan nasional

  • Alat seperti ini memang berguna untuk investigasi, tetapi berbahaya jika dapat dibeli dan digunakan siapa saja tanpa prosedur otorisasi dan pengawasan yang kuat
    • Prosedur internal Kepolisian Tucson tidak dijelaskan dalam laporan
  • Di AS, dibutuhkan guardrail hukum untuk penggunaan alat semacam ini, dan pada saat yang sama juga ada risiko keamanan nasional
    • Data yang sama dapat digunakan oleh badan intelijen asing untuk menargetkan kepentingan Amerika
  • Pelanggan luar negeri Penlink mencakup badan intelijen domestik Hongaria dan Polisi Nasional El Salvador, dan lembaga-lembaga ini juga memanfaatkan data lokasi untuk pengawasan di negara masing-masing
    • Citizen Lab menilai mereka tidak secara langsung menargetkan AS, tetapi memperingatkan bahwa data lokasi presisi dapat dimanfaatkan untuk pengumpulan intelijen secara global

Langkah pelarangan dan perubahan kebijakan

  • Amerika Serikat perlu melampaui sekadar pembatasan penggunaan data, dan melarang pembuatan serta penjualan data lokasi presisi itu sendiri
  • Sebagai perkembangan positif, negara bagian Virginia baru-baru ini mengesahkan undang-undang yang melarang penjualan data lokasi presisi pelanggan
    • Di tengah mandeknya undang-undang perlindungan privasi federal yang komprehensif, langkah di tingkat negara bagian dinilai sebagai respons yang praktis
    • Namun, larangan berskala nasional tetap perlu menyusul

Kasus kampanye peretasan yang memanfaatkan AI

  • Perusahaan keamanan Gambit menganalisis kasus ketika seorang peretas tunggal menggunakan dua platform AI komersial untuk membobol sembilan lembaga pemerintah Meksiko
    • Dalam hitungan minggu, ia mencuri ratusan juta data warga dan membangun layanan pemalsuan sertifikat pajak
  • Peretas menggunakan tiga VPS, dan Claude Code menghasilkan serta mengeksekusi sekitar 75% perintah remote code execution
    • Setelah intrusi, ia menggunakan OpenAI GPT-4.1 API untuk menganalisis data yang dikumpulkan dan merencanakan serangan lanjutan
  • Pada 26 Desember 2025, peretas memberi tahu Claude bahwa ia sedang melakukan “bug bounty test” sambil menetapkan aturan seperti penghapusan log
    • Saat Claude meminta bukti legalitas, peretas menyimpan cheat sheet pengujian penetrasi di file claude.md untuk mempertahankan konteks sesi
    • Dua puluh menit kemudian, ia berhasil memperoleh akses jarak jauh ke server otoritas pajak Meksiko (SAT) melalui pemindai vulmap
  • Claude secara otomatis membuat skrip serangan dan dalam tujuh menit menguji delapan pendekatan hingga menghasilkan kode yang berhasil
    • Walau Claude menolak sebagian permintaan, peretas tetap mengeksekusi sebagian besar aksinya lewat rekonstruksi perintah dan bypass
    • Dalam lima hari, ia mengoperasikan beberapa jaringan korban secara bersamaan
  • Peretas juga menjalankan rekon otomatis dan analisis data melalui GPT-4.1 API
    • Sebuah alat Python sepanjang 17.550 baris mengekstrak data server lalu mengirimkannya ke GPT-4.1
    • Enam persona analis virtual menghasilkan 2.957 laporan informasi terstruktur dari 305 server
  • Teknik serangannya sendiri bukan hal baru, dan sistem target berada dalam kondisi tidak mendapat pembaruan keamanan dan sudah end-of-support
    • Namun, poin utamanya adalah AI mempercepat kecepatan kerja dan efisiensi seorang peretas tunggal hingga setara tim
    • Dari sisi pertahanan, era ketika penyerang skala kecil dapat menyebabkan kerusakan besar kini telah tiba

Kabar positif keamanan siber pekan ini

  • Departemen Kehakiman AS membongkar botnet berbasis router rumahan yang dioperasikan oleh GRU Rusia dengan persetujuan pengadilan
    • GRU menginfeksi router TP-Link untuk melakukan DNS hijacking dan memakainya dalam serangan man-in-the-middle
  • FBI dan kepolisian Indonesia membongkar jaringan phishing global yang menggunakan W3LL phishing kit
    • Kepolisian Indonesia menangkap pengembangnya, dan kasus ini dinilai sebagai investigasi siber gabungan pertama antara kedua negara
  • Google memperkenalkan Device Bound Session Credentials (DBSC) ke Chrome 146 untuk Windows
    • Token autentikasi diikat ke kunci kriptografi per perangkat untuk mencegah pembajakan sesi
    • Versi MacOS juga akan segera didukung

Sorotan utama Risky Bulletin

  • Dipastikan bahwa router proxy LLM berbahaya benar-benar beredar di pasar
    • Para peneliti menganalisis 28 router berbayar yang dijual di Taobao, Xianyu, Shopify, dan tempat lain, serta 400 router gratis yang dipublikasikan di GitHub dan platform serupa
    • Sebagiannya melakukan tindakan berbahaya seperti prompt injection, trigger berbasis penundaan, pencurian kredensial, dan penghindaran analisis
  • Pemerintah Prancis memulai langkah pertama untuk mengurangi ketergantungan pada Windows dan beralih ke Linux
    • DINUM ditunjuk sebagai lembaga pemimpin untuk menguji migrasi berskala besar
    • Dalam seminar lintas kementerian pada 8 April, tiap kementerian berjanji menyiapkan rencana implementasi dan teknologi alternatif
  • Analisis terhadap strategi keamanan siber Tiongkok
    • Dalam rencana lima tahunan terbaru (FYP ke-15), pembangunan “cyber superpower (网络强国)” disebut sebagai salah satu dari lima tujuan negara adidaya
    • Empat bidang lainnya adalah manufaktur, kualitas, kedirgantaraan, dan transportasi

Bacaan terkait

1 komentar

 
GN⁺ 3 hari lalu
Opini Hacker News

  • Banyak data lokasi yang beredar di pasar diklaim telah dianonimkan, tetapi pada praktiknya sering kali perangkat tertentu masih bisa diidentifikasi kembali
    Dengan melihat lokasi perangkat berada pada malam hari, alamat rumah bisa diperkirakan, lalu dicocokkan dengan informasi penghuni (tempat kerja, sekolah, dll.) untuk mengetahui pemiliknya

    • Jika seseorang mengetahui lokasi rumah dan tempat kerja Anda, maka data lokasi anonim pada dasarnya hanyalah fiksi
    • Hal serupa pernah terjadi pada dataset Netflix Prize 20 tahun lalu. Bahkan hanya dari data rating film sederhana, individu bisa diidentifikasi dengan mencocokkannya ke data eksternal
      Makalah terkait ada di sini
    • Istilah ‘anonimisasi’ pada akhirnya hanyalah teater keamanan. Industri ad-tech selalu menemukan celah dalam hukum atau EULA, jadi solusinya harus berupa pendekatan arsitektural
      Misalnya, jika diubah ke struktur proxy stateless yang menghapus pengenal perangkat sebelum dikirim ke server, maka memang tidak ada informasi yang tersisa di database
    • Ada yang pernah melihat perusahaan yang melakukan re-identifikasi atas data milik broker data lain. Hasilnya, broker mengklaim datanya anonim, padahal sebenarnya semua informasi terekspos
    • Dengan jumlah sampel yang cukup besar, bahkan data jumlah langkah yang sederhana pun dapat digunakan untuk mengidentifikasi individu
      Saat ini database belum cukup besar, tetapi di masa depan itu bukan hal yang mustahil

  • Pengumpulan data seperti ini tanpa surat perintah atau kontrak yang eksplisit seharusnya dilarang

    • Namun kebanyakan orang tidak membaca EULA atau syarat layanan. Sangat mungkin klausul seperti ini sudah ada di dalamnya
    • Pelacakan seperti ini seharusnya nonaktif secara default (opt-out), dan penjualan ke pihak ketiga atau penggunaan di luar tujuan awal harus dilarang
    • Praktis semua EULA mengizinkan pengumpulan data semacam ini. Masalahnya adalah orang-orang menyetujuinya, dan pemerintah membeli atau mengalihdayakan data itu untuk mengakali konstitusi
    • GDPR juga sudah mencoba, tetapi industri ad-tech membelokkan narasinya, dan karena kurangnya penegakan, efektivitasnya jadi rendah

  • Amerika Serikat nyaris tidak punya konsep data pribadi. Selain sebagian HIPAA, hampir tidak ada kerangka perlindungan
    Bahkan undang-undang seperti Data Protection Act 1998 di Inggris saja kemungkinan besar sudah bisa mencegah banyak tindakan ilegal

  • Begitu kalangan kaya dan berkuasa sadar bahwa mereka sendiri bisa dilacak, regulasi akan mulai berjalan
    Data lokasi juga menjadi inti saat militer melacak dan melenyapkan target, tetapi data seperti ini terlalu mudah diperdagangkan lewat broker

    • Rasanya bisa saja muncul layanan pelacakan ala ElonJet yang dibangun di atas data semacam ini

  • Diskusi privasi selalu berjalan dengan pola reaktif dan terlambat
    Teknologi pengawasan diciptakan, disalahgunakan, diungkap, disadari publik, lalu barulah hukum dibuat
    Umpan balik seperti ini terlalu lambat dan pada dasarnya menguras energi. Diperlukan pendekatan yang benar-benar berbeda

    • Pelanggaran privasi itu sendiri harus dikriminalisasi. Seperti pencurian, penilaiannya harus berdasarkan hasilnya, bukan cara melakukannya
      Bisa saja ada alasan teknis untuk mengumpulkan data, tetapi tidak ada alasan yang sah untuk menjualnya

  • Ada ide untuk memperluas hukum hak cipta agar rute pergerakan seseorang dilindungi sebagai ‘ekspresi kreatif’

    • Namun seperti kata Cory Doctorow, menggunakan hak cipta sebagai pengganti privasi itu berbahaya
      Data lokasi bukan karya kreatif, dan bahkan tidak jelas siapa yang menjadi ‘pencatatnya’
      Tulisan terkait bisa dibaca di sini
    • Pada akhirnya, syarat layanan hanya akan menambahkan klausul pelepasan tanggung jawab seperti “Anda memberi kami hak global, non-eksklusif, bebas royalti untuk menggunakan informasi lokasi Anda”

  • Kebanyakan orang meremehkan risiko data lokasi
    Dengan membeli data dari broker lalu melakukan geofencing pada alamat tertentu, semua tempat yang didatangi seseorang dan dengan siapa ia bergaul bisa dilacak
    Ini adalah sarana kontrol sempurna yang diimpikan Palantir atau pemerintah otoriter

  • Ada yang pernah menemukan kasus aneh saat melihat catatan publik
    Di semua lokasi di sekitar rumahnya, muncul orang dengan nama yang sama sebagai ‘tetangga’. Tidak jelas apakah itu orang sungguhan atau profil palsu
    Jika informasi seperti ini bahkan mencakup koordinat GPS, maka rute aktivitas harian seseorang bisa terbuka ke publik seperti catatan kredit

    • Sebagai catatan, selain GPS ada berbagai sistem GNSS lain yang juga mengukur lintang dan bujur

  • Screenshot dan analisis rinci dari alat terkait bisa dilihat dalam laporan Citizen Lab

    • Thread diskusi HN tentang hal ini ada di sini

  • Kini ada yang berpikir bahwa mengunggah video juga seharusnya ilegal jika tidak ada persetujuan eksplisit dari semua orang yang muncul di dalamnya
    Berbagi dalam keluarga tidak masalah, tetapi untuk publikasi ke luar harus ada persetujuan dari semua pihak
    Di era ketika budaya influencer membuat pelanggaran privasi bisa menghasilkan uang, perlindungan hukum perlu diperkuat jauh lebih besar
    Data lokasi juga sama sekali tidak boleh dijual atau diekspos

    • Namun jika hukum seperti ini dibuat, video festival, pidato politik, video whistleblower, dan sebagainya juga bisa ikut dilarang
      Pelecehan sudah merupakan tindak pidana, jadi perlu hati-hati agar tidak membuat hukum yang terlalu represif secara tidak perlu