Jakarta (PARADE.ID)- PT Telkom selaku penyedia layanan internet IndiHome merespon temuan Ketua Ethical Hacker Indonesia, Teguh Aprianto, yang mengungkap bahwa perusahaan itu menanam script khusus untuk melacak riwayat penjelajahan internet oleh pengguna Indihome.
Respon Telkom itu disampaikan lewat akun Twitter resmi dan terverifikasi centang biru @IndiHome milik IndiHome pada Kamis (17 September 2020).
Ada tiga poin yang disampaikan IndiHome terkait temuan yang menyebutkan perusahaan itu diam-diam mencuri data riwayat browsing milik pelanggan IndiHome dengan injeksi script khusus. Â
Berikut ketiga poin yang disampaikan Indihome itu.
1. Telkom Indonesia senantiasa memenuhi ketentuan peraturan perundang-undangan yang berlaku termasuk praturan terkait dengan perlindungan data pribadi
2. Telkom Indonesia secara reguler memonitor performansi koneksi layanan IndiHome untuk kepentingan peningkatan kualitas layanan, termasuk tindakan proaktif perbaikan konfigurasi teknis layanan pelanggan untuk mencapai output yang optimal sesuai layanan yang dipilih oleh pelanggan.
3. Telkom Indonesia tidak menjual atau menyerahkan data pelanggan kepada pihak ketiga secara melawan hukum, dan tidak mengambil keuntungan ekonomis dari data pelanggan tersebut
Teguh lantas menngunggah respon IndiHome itu di Twitter miliknya. Kabar baiknya, meskipun IndiHome mengatakan Telkom Indonesia senantiasa patuh pada undang-undang, website tracker yang beralamat di Â
http://p01.notifa.info/3fsmd3/wsadmin/auth/login telah dimatikan sehingga tak bisa lagi diakses.
“Terima kasih yang sudah membantu untuk ikut meramaikan dan membuat masalah ini menjadi trending topic di Twitter,” tulis Teguh, Jumat (18 September 2020).
“Website tracker milik IndiHome sepertinya juga sudah di-shutdown. Script yang selama ini selalu disisipkan juga sepertinya sekarang sudah tidak ada lagi,” tambahnya.
Benar saja, saat Cyberthreat.id mencoba mengakses halaman itu pada Jumat siang, muncul pemberitahuan bahwa server p01.notifa.info sudah tak bisa diakses. Namun seorang netizen sempat menyimpan arsip tampilannya di tautan ini.
Merespon jawaban Telkom itu, seorang netizen menulis,“Kalau tidak menjual, tidak mengambil keuntungan ekonomis, dll, kenapa di take down? Wkwkwk ngelesnya aae.”
Meskipun situs itu telah dimatikan, Teguh mengingatkan bisa saja sewaktu-waktu dihidupkan lagi.
“Sekalipun kita sudah berhasil membuat perubahan, semoga ini sifatnya permanent dan bukan sementara. Tetap awasi dan jangan lengah. Sekali lagi terima kasih, kita berhasil,” kata Teguh disertai emoticon tangan anda kemenangan.
Seperti diberitakan sebelumnya, Teguh Apriyanto mengatakan dirinya menemukan prilaku curang Telkom saat mengunjungi sebuah website tentang perawatan kucing. Dia lantas melihat source code di website itu dan menemukan adanya script yang mengirim data riwayat browsingnya ke server Indihome.
“Ini tindakan pencurian. Saya menggunakan kata ‘mencuri’ karena sesuatu tanpa izin. Selain ini dilakukan secara diam-diam, kebanyakan orang awam pasti tidak menyadari hal ini,” kata Teguh dikutip Jumat, 18 September 2020.
Riwayat browsing yang dicuri itu, kata Teguh, khususnya pada situs yang belum menggunakan sertifikat SSL untuk mengamankan websitenya yang ditandai dengan ‘http’, buka ‘https.’
Beberapa parameter yang ditemukan Teguh dalam skrip yang ditanam Telkom itu berupa nama domain dan resolusi layar yang dipakai pengguna.
Dalam penelusuran lebih lanjut, Teguh menemukan data tersebut diarahkan ke sebuah sistem manajemen iklan yang disebut “Push Ads Management System” yang beralamat di http://p01.notifa.info/3fsmd3/wsadmin/auth/login.
Halaman itu “merupakan tempat untuk login internal yang mungkin digunakan content management.”
Teguh tidak menjabarkan siapa pemilik sistem manajemen iklan itu. Namun, pantauan Cyberthreat.id, di bagian bawah form login tertulis “Metranet.”
Diketahui, Metranet adalah anak perusahaan Telkom yang bergerak di bidang konten digital, e-commerce, iklan digital, smart platform dan financial services.
Halaman tersebut, menurut Teguh,juga memuat statistik dan struktur kode yang digunakan website tracker itu. Pada 14 September 2020, total hits-nya mencapai 26,6 miliar. Sehari kemudian, pada 15 September, jumlah bertambah menjadi 27,5 miliar. Artinya, dalam sehari, website tracker itu mendapat 1 miliar hits.
“Sampai saat ini saya masih belum tau apa alasan Indihome melakukan ini terhadap para pelanggan mereka. Namun kita semua tahu bahwa data seperti browsing history selama ini adalah data yang laku dijual ke pengiklan,” kata Teguh.
Peraturan yang Dilanggar
Menurut Teguh, tindakan Telkom itu melanggar syarat dan ketentuan Indihome poin ke-8 yang mereka buat sendiri. Aturan itu berbunyi,”Telkom dilarang melakukan perubahan dalam bentuk apapun terhadap jaringan layanan IndiHome dan dilarang mengenakan sanksi kepada pelanggan kecuali sesuai dengan ketentuan Kontrak Berlangganan.”
Teguh kemudian membahas tentang tindakan Telkom itu dengan Arietha Eleison Sembiring, salah satu peneliti di Tordillas.
Teguh bilang, menurut Atietha, yang dilakukan Telkom dan Indihome itu melanggar pasal 32 ayat 1 UU ITE.
Â
“Pasal 32 ayat 1 UU ITE larang Indihome lakukan hal demikian,” kata Teguh mengutip Ariehta.
Pasal 32 ayat 1 UU ITE itu melarang setiap orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik.
Teguh menambahkan, tindakan Telkom menanam script untuk melacak riwayat penjelajahan pengguna itu sebenarnya telah pernah diadukan ke BRTI sejak 2018 lalu. Namun, saat itu, layanan Telkom di Twitter mengatakan itu adalah tindakan legal.
“Sore Kak, kami mau infokan ttg ads tsb merupakan legal, yg bertujuan untuk promosikan fitur-fitur yg tersedia kpd konsumen yg menggunakan jaringan Indihome. Kami akan bantu hapus ads tsb, mhn infokan websitenya. Untuk menjaga data privasi pelanggan,mhn infokan via DM. Tks -Martin,” begitu bunyi jawaban layanan pelanggan @TelkomCare di Twitter.
Dalam sejumlah kasus lain, pengguna Indihome juga kerap dialihkan secara otomatis ke situs uzone.id dan duniagames.co.id yang juga milik anak usaha Telkom. Ini terjadi ketika pengguna salah mengetikkan alamat domain, atau alamat domain yang dicari tidak ditemukan.
Di bagian “Kontak” duniagames.co.id disebutkan berkantor di Telkomsel Smart Office di Jalan Gatot Subroto, Jakarta.
Solusi Memblokir Pelacakan oleh Telkom – Indihome
Teguh menyarankan pengguna Indihome untuk menambahkan script dari Abdilahrf yang tersedia di GitHub. Script ini disebut bisa memblokir pelacakan oleh Telkom termasuk sejumlah hostname-nya seperti uzone.id, p01.notifa.info dan lain-lain seperti terlihat dalam tangkapan layar di bawah ini. (Scriptnya bisa diakses di tautan ini).
“Selain itu alternatif yang bisa digunakan adalah selalu gunakan VPN ketika terhubung ke suatu layanan internet yang menggunakan Indihome. Jangan gunakan VPN gratis yang tersedia di Play Store ataupun App Store, karena data kamu juga akan diperjualbelikan oleh penyedia layanan VPN tersebut,” tambah Teguh.
Pada hari yang sama, Teguh juga membuat petisi online di Change.org dengan judul “Indihome, Berhenti Mencuri Browsing History Pelanggan.” Hingga Jumat siang ini, petisi yang dilayakan ke Ombudsman Indonesia itu sudah diteken oleh lebih dari 1.000 orang.
(Cyberthreat/PARADE.ID)
