10 May 2011

Masalah Privasi di Layanan Seluler Indosat

Posted under: at 11:25

Beberapa minggu terakhir saya mengamati masalah registrasi otomatis yang menimpa Oom Hasant. Beliau terkena registrasi otomatis dari konten provider nakal Elasitas sehingga harus berkali-kali menerima SMS sampah dan bahkan mengeluarkan biaya untuk itu semua. Padahal yang beliau lakukan hanyalah mengklik (menyentuh?) iklan yang ditampilkan oleh sebuah aplikasi permainan.

Saya tertarik mengapa oknum Elasitas bisa mendapatkan nomor telepon Oom Hasant dan kemudian menyalahgunakan nomor tersebut untuk kepentingan mereka. Dari tangkapan layar Oom Hasant, saya menyimpulkan bahwa Elasitas bekerja sama dengan Indosat. Indosat menyediakan API yang digunakan oleh oknum Elasitas untuk menjaring nomor telepon pelanggan. Cara kerja API tersebut saya jelaskan di bawah ini.

Dalam kondisi normal, web server tidak mengetahui nomor telepon pengakses. Misalnya saya mengakses google.com melalui layanan selular Indosat, maka server google.com tidak dapat mengetahui nomor telepon saya. Server Google  hanya mengetahui alamat IP saya.

Tetapi, Indosat menyediakan sebuah API (application programming interface) yang dapat digunakan oleh pihak ketiga seperti oknum konten provider Elasitas untuk bisa mengetahui nomor telepon saya. API ini terletak di http://wap.indosat.com/ext/get_msisdn.php. URL ini menerima parameter url yang berisikan sebuah callback URL.

Setelah menerima panggilan yang berisikan callback URL, get_msisdn.php akan mengarahkan peramban ke callback URL tersebut, ditambah dengan paramter m yang berisikan nomor telepon pengakses (MSISDN) yang di-encode dalam Base64.

Ini sebabnya mengapa konten provider nakal seperti Elasitas bisa mendapatkan dan menyalahgunakan nomor telepon Oom Hasant, padahal yang beliau lakukan hanyalah mengklik iklan.

Contoh cara kerja API get_msisdn.php:

  • Saya mengarahkan pengakses ke http://wap.indosat.com/ext/get_msisdn.php?url=http://priyadi.net/indosux/proses.php
  • get_msisdn.php akan meredireksi pengakses ke URL callback milik saya yaitu http://priyadi.net/indosux/proses.php, ditambahkan dengan parameter m yang berisikan nomor telepon pengakses yang di-encode dalam Base64. URL lengkapnya misalnya: http://priyadi.net/indosux/proses.php?m=MDgxNTExMTExMTE%3D
  • Saya mendapatkan nomor telepon pengakses dengan cara mengambil parameter m dan men-decode-nya dengan Base64. Dalam contoh ini, nomor telepon yang dimaksud adalah 628151111111.

Bagi yang ingin mencoba ‘sulap’ ini, silakan arahkan peramban anda ke http://priyadi.net/indosux/ dengan menggunakan layanan seluler Indosat. Jika berhasil, maka nomor telepon anda akan ditampilkan. Jangan kuatir, tidak seperti Elasitas, saya orang baik-baik. Nomor telepon anda tidak akan saya catat :).

Menurut saya ini adalah pelanggaran privasi yang besar. Siapa saja bisa saja menyebarkan URL yang fungsinya adalah untuk mendapatkan nomor telepon yang mengakses URL tersebut. Setelah mendapatkan nomor telepon, oknum-oknum ini bisa menyalahgunakannya, misalnya dengan menjual data tersebut, menggunakannya untuk ‘pemasaran’ atau melakukan registrasi otomatis pada layanan SMS premium seperti yang dilakukan oleh oknum konten provider Elasitas.

Sebagai konsumen Indosat, saya menuntut agar API ini ditutup untuk selamanya. Ditutup maksudnya bukan hanya mem-blacklist URL callback saya saja, atau hanya me-whitelist konten provider yang bekerja sama dengan Indosat saja, atau sekadar memindahkan URL API tersebut ke tempat lain yang tidak saya ketahui. Tapi ditutup 100%, selamanya.

Rasanya pemerintah dan regulator perlu pro aktif untuk menertibkan kebocoran data pelanggan seperti ini. Dugaan saya bukan hanya Indosat yang seperti ini. Bisa jadi praktik pelanggaran privasi ini sudah meluas di penyedia layanan seluler lainnya.

92 Responses

Trackback: Use this URI to trackback this entry. Use your web browser's function to copy it to your blog posting.

Comment RSS: You can track conversation in this page by using this page's Comments RSS (XML)

Gravatar: You can have a picture next to each of your comments by getting a Gravatar.

Leave a Comment

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Warning: Comments carrying links to questionable sites will be removed!