Foto & Video Anda Bisa Sudah Bocor! Aplikasi Populer Ini Bocorkan 12TB Data Pengguna

Gadget – Kepercayaan terhadap aplikasi di Google Play Store kini harus dipertanyakan ulang. Sebuah laporan keamanan terbaru mengungkap bahwa dua aplikasi dari pengembang yang sama telah membocorkan lebih dari 12 terabyte (TB) data pengguna, termasuk 1,5 juta foto pribadi, 385 ribu video, dan dokumen identitas sensitif seperti KTP, paspor, dan alamat rumah.

Salah satu aplikasi tersebut, Video AI Art Generator & Maker, sempat menjadi favorit di kalangan pengguna Android dengan lebih dari 500.000 unduhan dan 11.000 ulasan positif. Namun di balik antarmuka yang menarik dan fitur pembuat seni AI-nya, tersimpan kerentanan keamanan parah yang membuat seluruh konten pengguna bisa diakses publik tanpa kata sandi, tanpa autentikasi, tanpa batas.

Artikel ini mengungkap skala kebocoran, jenis data yang terpapar, risiko nyata bagi pengguna, serta pelajaran penting tentang keamanan digital di era aplikasi serba instan.

Apa yang Terjadi? Kesalahan Fatal di Google Cloud Storage

Inti masalahnya terletak pada konfigurasi salah pada bucket Google Cloud Storage yang digunakan oleh pengembang aplikasi. Alih-alih membatasi akses hanya untuk pengguna sah atau sistem internal, bucket tersebut dibiarkan terbuka untuk publik artinya siapa pun di internet bisa melihat, mengunduh, bahkan menghapus file di dalamnya.

Sejak diluncurkan pada 13 Juni 2023, aplikasi ini menyimpan setiap karya pengguna:

• Foto asli yang diunggah
• Hasil edit AI
• Video pendek
• Metadata lokasi, waktu, dan perangkat

Total: 8,27 juta file media dari ratusan ribu pengguna di seluruh dunia. Semua itu tersedia tanpa login, cukup dengan URL yang benar yang sayangnya mudah ditebak atau ditemukan melalui pencarian otomatis.

Dampak Nyata: Bukan Cuma Foto, Tapi Identitas Pribadi Ikut Bocor

Yang lebih mengkhawatirkan, pengembang yang sama juga merilis aplikasi lain bernama IDMerit sebuah platform yang mengklaim membantu proses verifikasi identitas digital (Know Your Customer atau KYC).
KYC adalah prosedur wajib di sektor keuangan, fintech, dan layanan legal. Data yang dikumpulkan biasanya sangat sensitif:

• Nama lengkap
• Alamat tempat tinggal
• Nomor telepon
• Pekerjaan & penghasilan
• Salinan dokumen resmi (KTP, SIM, paspor)

Akibat kesalahan konfigurasi serupa, data KYC dari pengguna di 26 negara termasuk AS, Jerman, Prancis, China, dan Brasil ikut terekspos. Para peneliti keamanan menyebutnya sebagai “treasure trove” (harta karun) bagi pelaku kejahatan siber, karena data ini bisa digunakan untuk:

Halaman Selanjutnya

Pencurian identitasPenipuan finansialPhishing bertargetEksploitasi sosial engineering