Foto & Video Anda Bisa Sudah Bocor! Aplikasi Populer Ini Bocorkan 12TB Data Pengguna
- Ist.
Gadget – Kepercayaan terhadap aplikasi di Google Play Store kini harus dipertanyakan ulang. Sebuah laporan keamanan terbaru mengungkap bahwa dua aplikasi dari pengembang yang sama telah membocorkan lebih dari 12 terabyte (TB) data pengguna, termasuk 1,5 juta foto pribadi, 385 ribu video, dan dokumen identitas sensitif seperti KTP, paspor, dan alamat rumah.
Salah satu aplikasi tersebut, Video AI Art Generator & Maker, sempat menjadi favorit di kalangan pengguna Android dengan lebih dari 500.000 unduhan dan 11.000 ulasan positif. Namun di balik antarmuka yang menarik dan fitur pembuat seni AI-nya, tersimpan kerentanan keamanan parah yang membuat seluruh konten pengguna bisa diakses publik tanpa kata sandi, tanpa autentikasi, tanpa batas.
Artikel ini mengungkap skala kebocoran, jenis data yang terpapar, risiko nyata bagi pengguna, serta pelajaran penting tentang keamanan digital di era aplikasi serba instan.
Apa yang Terjadi? Kesalahan Fatal di Google Cloud Storage
Inti masalahnya terletak pada konfigurasi salah pada bucket Google Cloud Storage yang digunakan oleh pengembang aplikasi. Alih-alih membatasi akses hanya untuk pengguna sah atau sistem internal, bucket tersebut dibiarkan terbuka untuk publik artinya siapa pun di internet bisa melihat, mengunduh, bahkan menghapus file di dalamnya.
Sejak diluncurkan pada 13 Juni 2023, aplikasi ini menyimpan setiap karya pengguna:
- Foto asli yang diunggah
- Hasil edit AI
- Video pendek
- Metadata lokasi, waktu, dan perangkat
Total: 8,27 juta file media dari ratusan ribu pengguna di seluruh dunia. Semua itu tersedia tanpa login, cukup dengan URL yang benar yang sayangnya mudah ditebak atau ditemukan melalui pencarian otomatis.
Dampak Nyata: Bukan Cuma Foto, Tapi Identitas Pribadi Ikut Bocor
Yang lebih mengkhawatirkan, pengembang yang sama juga merilis aplikasi lain bernama IDMerit sebuah platform yang mengklaim membantu proses verifikasi identitas digital (Know Your Customer atau KYC).
KYC adalah prosedur wajib di sektor keuangan, fintech, dan layanan legal. Data yang dikumpulkan biasanya sangat sensitif:
- Nama lengkap
- Alamat tempat tinggal
- Nomor telepon
- Pekerjaan & penghasilan
- Salinan dokumen resmi (KTP, SIM, paspor)
Akibat kesalahan konfigurasi serupa, data KYC dari pengguna di 26 negara termasuk AS, Jerman, Prancis, China, dan Brasil ikut terekspos. Para peneliti keamanan menyebutnya sebagai “treasure trove” (harta karun) bagi pelaku kejahatan siber, karena data ini bisa digunakan untuk:
- Pencurian identitas
- Penipuan finansial
- Phishing bertarget
- Eksploitasi sosial engineering
Respons Google: Aplikasi Ditarik, Tapi Kerusakan Sudah Terjadi
Setelah laporan kebocoran mencuat, Google langsung menghapus aplikasi Video AI Art Generator & Maker dari Play Store. Namun, tindakan ini bersifat reaktif data yang sudah bocor tidak bisa ditarik kembali.
Pengguna yang pernah mengunggah foto keluarga, wajah anak, atau dokumen pribadi tidak memiliki cara untuk mengetahui apakah datanya telah diunduh pihak ketiga. Bahkan jika bucket kini ditutup, salinannya mungkin sudah tersebar di forum gelap atau arsip pribadi peretas.
Mengapa Ini Harus Mengkhawatirkan Anda?
Banyak pengguna menganggap:
“Saya cuma upload foto biasa, nggak penting.”
Namun, dalam dunia keamanan siber, tidak ada data yang ‘tidak penting’. Foto bisa digunakan untuk:
- Melatih model AI wajah tanpa izin
- Membuat deepfake
- Mengidentifikasi lokasi rumah (melalui metadata atau latar belakang)
- Memancing informasi pribadi lewat rekayasa sosial
Apalagi jika Anda pernah mengunggah dokumen resmi, risikonya jauh lebih besar. Identitas digital Anda bisa dicuri dan digunakan untuk membuka rekening bank, mengajukan pinjaman, atau bahkan melakukan kejahatan atas nama Anda.
Pelajaran Penting: Bagaimana Melindungi Diri di Masa Depan?
Kasus ini bukan pertama kalinya aplikasi populer membocorkan data dan sayangnya, bukan yang terakhir. Tapi Anda bisa mengurangi risiko dengan langkah-langkah berikut:
1. Periksa Izin Aplikasi Secara Rutin
Jangan berikan akses ke galeri, mikrofon, atau lokasi kecuali benar-benar diperlukan.
2. Telusuri Riwayat Unduhan Anda
Periksa aplikasi lama yang tidak lagi digunakan hapus jika tidak relevan.
3. Gunakan Akun Email Sekunder
Untuk aplikasi pihak ketiga, hindari menggunakan email utama yang terhubung ke bank atau media sosial.
4. Waspadai Aplikasi “Gratis” dengan Fitur Premium
Banyak aplikasi semacam ini menghasilkan uang dari data pengguna bukan iklan.
5. Pantau Aktivitas Akun Google Anda
Gunakan myaccount.google.com untuk melihat izin pihak ketiga dan cabut akses yang mencurigakan.
Kesimpulan: Kepercayaan Harus Dibayar dengan Verifikasi
Play Store bukan jaminan keamanan mutlak. Google melakukan moderasi, tapi tidak bisa memeriksa setiap baris kode atau konfigurasi server. Tanggung jawab akhir tetap ada di tangan pengguna untuk bertanya, memverifikasi, dan memilih dengan bijak.
Jika Anda pernah menggunakan Video AI Art Generator & Maker atau IDMerit, segera:
- Ganti kata sandi akun terkait
- Pantau aktivitas keuangan
Laporkan ke otoritas perlindungan data jika berada di Uni Eropa atau negara dengan UU privasi ketat
Di era digital, privasi bukan lagi hak tapi sesuatu yang harus Anda pertahankan sendiri. Dan kasus ini adalah pengingat keras: sekali bocor, data Anda tak pernah benar-benar kembali.
| Dapatkan informasi terbaru seputar Gadget, Anime, Game, Tech dan Berita lainnya setiap hari melalui social media Gadget VIVA. Ikuti kami di : | |
|---|---|
| @gadgetvivacoid | |
| Gadget VIVA.co.id | |
| X (Twitter) | @gadgetvivacoid |
| Whatsapp Channel | Gadget VIVA |
| Google News | Gadget |
