Masalah Privasi di Layanan Seluler Indosat

Beberapa minggu terakhir saya mengamati masalah registrasi otomatis yang menimpa Oom Hasant. Beliau terkena registrasi otomatis dari konten provider nakal Elasitas sehingga harus berkali-kali menerima SMS sampah dan bahkan mengeluarkan biaya untuk itu semua. Padahal yang beliau lakukan hanyalah mengklik (menyentuh?) iklan yang ditampilkan oleh sebuah aplikasi permainan.

Saya tertarik mengapa oknum Elasitas bisa mendapatkan nomor telepon Oom Hasant dan kemudian menyalahgunakan nomor tersebut untuk kepentingan mereka. Dari tangkapan layar Oom Hasant, saya menyimpulkan bahwa Elasitas bekerja sama dengan Indosat. Indosat menyediakan API yang digunakan oleh oknum Elasitas untuk menjaring nomor telepon pelanggan. Cara kerja API tersebut saya jelaskan di bawah ini.

Dalam kondisi normal, web server tidak mengetahui nomor telepon pengakses. Misalnya saya mengakses google.com melalui layanan selular Indosat, maka server google.com tidak dapat mengetahui nomor telepon saya. Server Google  hanya mengetahui alamat IP saya.

Tetapi, Indosat menyediakan sebuah API (application programming interface) yang dapat digunakan oleh pihak ketiga seperti oknum konten provider Elasitas untuk bisa mengetahui nomor telepon saya. API ini terletak di http://wap.indosat.com/ext/get_msisdn.php. URL ini menerima parameter url yang berisikan sebuah callback URL.

Setelah menerima panggilan yang berisikan callback URL, get_msisdn.php akan mengarahkan peramban ke callback URL tersebut, ditambah dengan paramter m yang berisikan nomor telepon pengakses (MSISDN) yang di-encode dalam Base64.

Ini sebabnya mengapa konten provider nakal seperti Elasitas bisa mendapatkan dan menyalahgunakan nomor telepon Oom Hasant, padahal yang beliau lakukan hanyalah mengklik iklan.

Contoh cara kerja API get_msisdn.php:

  • Saya mengarahkan pengakses ke http://wap.indosat.com/ext/get_msisdn.php?url=https://priyadi.net/indosux/proses.php
  • get_msisdn.php akan meredireksi pengakses ke URL callback milik saya yaitu https://priyadi.net/indosux/proses.php, ditambahkan dengan parameter m yang berisikan nomor telepon pengakses yang di-encode dalam Base64. URL lengkapnya misalnya: https://priyadi.net/indosux/proses.php?m=MDgxNTExMTExMTE%3D
  • Saya mendapatkan nomor telepon pengakses dengan cara mengambil parameter m dan men-decode-nya dengan Base64. Dalam contoh ini, nomor telepon yang dimaksud adalah 628151111111.

Bagi yang ingin mencoba ‘sulap’ ini, silakan arahkan peramban anda ke https://priyadi.net/indosux/ dengan menggunakan layanan seluler Indosat. Jika berhasil, maka nomor telepon anda akan ditampilkan. Jangan kuatir, tidak seperti Elasitas, saya orang baik-baik. Nomor telepon anda tidak akan saya catat :).

Menurut saya ini adalah pelanggaran privasi yang besar. Siapa saja bisa saja menyebarkan URL yang fungsinya adalah untuk mendapatkan nomor telepon yang mengakses URL tersebut. Setelah mendapatkan nomor telepon, oknum-oknum ini bisa menyalahgunakannya, misalnya dengan menjual data tersebut, menggunakannya untuk ‘pemasaran’ atau melakukan registrasi otomatis pada layanan SMS premium seperti yang dilakukan oleh oknum konten provider Elasitas.

Sebagai konsumen Indosat, saya menuntut agar API ini ditutup untuk selamanya. Ditutup maksudnya bukan hanya mem-blacklist URL callback saya saja, atau hanya me-whitelist konten provider yang bekerja sama dengan Indosat saja, atau sekadar memindahkan URL API tersebut ke tempat lain yang tidak saya ketahui. Tapi ditutup 100%, selamanya.

Rasanya pemerintah dan regulator perlu pro aktif untuk menertibkan kebocoran data pelanggan seperti ini. Dugaan saya bukan hanya Indosat yang seperti ini. Bisa jadi praktik pelanggaran privasi ini sudah meluas di penyedia layanan seluler lainnya.

92 comments

  1. Wah, cuman klik iklan bisa daftar otomatis?
    Biasanya pihak content provider itu apabila ada hal seperti ini harusnya diberitau, “Dengan meng-klik link tersebut brarti anda telah ikut berpartisipasi bla bla bla dan untuk unregister silakan kirim sms UNREG ke 9999”

    Kayaknya bakal ada yang makan-makan nih.

  2. jiaahh telat sama naip.

    Sepertinya Regulator lebih konsen ke bidang porn karena lebih agamis. Yang beginian dipandang tidang agamis. wahihihih…

  3. wuis, baru tau soal API nya. sepertinya di provider lain juga ada. di 3 saya juga pernah dapat layanan SMS seleb/gosip tanpa register. dan pulsa pun melayang.

  4. Wah.. Ternyata ada yang ngalamin hal yang sama.. saya dulu pernah nyentuh iklan secara tidak sengaja.. Setelah disentuh.. beberapa saat kemudian ada sms pemberitahuan kalo udah join layanan itu.. :(

  5. jiaahh telat sama naip.

    Sepertinya Regulator lebih konsen ke bidang porn karena lebih agamis. Yang beginian dipandang tidak agamis. wahihihih…

  6. saya pake nomer telkomsel, alhamdulillah nggak muncul nomernya. saya coba ke priyadi.net/indosux yg muncul: “Nomor telepon anda tidak diketahui”

    1. @efahmi: nomer telkomsel jelas gak bisa, karena ini khusus indosat. tapi bukan berarti di telkomsel gak ada yang seperti ini, mungkin API-nya aja yang beda.

  7. saya pernah nelfon CS indosat mempermasalahkan banyaknya iklan yg masuk, jawabnya mereka tidak bisa memblokir, justru kita yg diminta ketik UNREG ato STOP ke nomor misalnya 700 dkk. Pulsa saya jg pernah ke sedot untuk layanan musicbox atau apa saya lupa sementara saya tidak pernah mendaftar, apalagi saya tidak lagi menggunakan i-ring.

    Cukup sering protes ke twitternya @INDOSAT, @indosatmania @IM3_Indosat tapi gak pernah ditanggapi. telfon ke CS udah males. sekarang setiap dapat sms iklan langsung saya delete daripada salah klik. Mentang2 saya pakai IM3 yang murah meriah jadi gini deh nasibnya, sejauh ini nomor matrix saya aman2 aja dari iklan2 sampah. Di mana YLKI ketika ada masalah penjualan nomor oleh provider?? :-@

  8. “Bagi yang ingin mencoba ‘sulap’ ini, silakan arahkan perambah anda ke …” –> Nganuh, cuma mau koreksi dikit, “peramban”, bukan “perambah”

  9. Ini harus segera ditangani BRTI dan Kemkominfo. Kalau mereka turun tangan, praktek ini pasti akan segera dihentikan dengan cepat! Kira-kira dalam 68 tahun, lah.

  10. saya juga pernah dulu mengalami hal seperti ini,ketika lewat hape mendownload wallpapaer mariana renata, nah ndak berapa lama ada sms, anda telah sukses melakukan registrasi..akhirnya dibom sms sperti itu, karna kesel saya biarkan pulsa saya habis selama berminggu-minggu hingga akhirnya layanan berhenti sendiri..untung masih bisa..
    masak registrasi tanpa kita sadar,sama aja perampokan itu

  11. iseng dibuka pake bb dgn nomer telkomsel ternyata gak bisa.

    btw udah sering mention @tifsembiring mengenai spam, konten provider nakal, & jual-beli nomer gini, cuma ya gitu deh, pak menteri fokusnya ke syahwat :”>

  12. kalau telkomsel, gimana cara membocorkan no pelanggan? apa dengan cara lebih manual? masalahnya saya pakai no paska bayar. jadi identitas saya lengkap disana

    terimakasih mas

  13. Hi, jangan pakai proxy isat untuk browsing WAP, ini berlaku juga buat TSEL,XL, kalau masuk proxy mereka ya alamat MSISDN dapet, semua telco gini kok, ga cuman yg di Indonesia, T-Mobile, Vodafone, semuanya…

    1. @ferdhie: kalau cuma indosatnya yang tahu alamat MSISDN saya, harusnya gak jadi masalah. yang masalah adalah nomor MSISDN pelanggan diketahui content provider (yang gak pernah berhubungan dengan pelanggan), dan bahkan saya yang orang luar bisa pake API-nya.

  14. Aq pake m3 d hp gsm biasa. Brusan klik yg priyadi.net diatas tulisannya jg “no telepon anda tidak diketahui”.
    Smoga bnr2 udh dtu2p ma indosat. Jd was2 jg niy.. Scr klo intrntan pakenya hp mulu.

  15. saya pake opera mini 6 dan indosat m3 paket im2 inside tapi nomernya gak nongol tuh. wahihihi

  16. Waiks, udah 7 tahun lebih jadi pelanggan setia Indosat dengan IM3-nya. Serem juga kalau begini caranya… Harus ekstra hati-hati untuk ngga macem2 via mobile nih kalo gitu.

  17. Di menu USSD juga ada layanan ‘klik langsung berlangganan’ ini (*123# dll.) yang saya rasa lebih parah karena sama sekali tidak ada penjelasan bahwa menu tsb mengarah ke SMS premium.

  18. edan, ternyata separah itu.
    gua gak kepikir ngulik URL-nya. thanks for sharing.

    btw, url shortener erot nih.
    http://twitpic.com/4vst64

    Fatal error

    Error establishing mySQL database connection. Correct user/password? Correct hostname? Database server running? in /home/u6465/domain/pryd.in/web/includes/class-mysql.php on line 298

  19. #22:
    saya belum mengadukan ke YLKI. tapi sepertinya akan percuma juga.

    Sementara itu, Husna Gustiana Zahir dari Yayasan Lembaga Konsumen Indonesia (YLKI) mengatakan harus ada lembaga yang menjembatani antara konsumen dengan penyedia konten atau operator seluler. “Selama ini konsumen bingung mau mengadu kemana, paling ke YLKI. Padahal YLKI tidak bisa langsung turun tangan menangani masalah ini,” kata Husna.

    sumber: http://www.inilah.com/read/detail/3766/brti-panggil-tiga-penyedia-konten-nakal/

  20. om pri memang rocks.. :)>-
    *sdh 10thn pake indosux, tp jarang dpt spam..lebih byk spam dr x* [-(

  21. saya juga pernah mengalami hal serupa, tp bukan registrasi otomatis. Tiba-tiba saja ada sms marketting yg masuk ke no XL saya. Saya heran darimana mereka mendapat nomor saya padahal saya tdk pnh memberikan ke siapapun yg tdk berhak. Ooo rupanya API ini to biang keroknya…trimakasih pencerahannya pak priadi

  22. kek di provider 3 jg ada skema kek gini, soalnya pulsa ku tiap hari berkurang 500, padahal gk tlp ato sms, walau cuma 500 tapi kalo tiap hari kan bnyak

  23. saya selalu dapat sms dari JAVAlink, saya sudah telp ke telkomsel tetapi ngak ada layanan itu? masalahnya saya tidak tau itu apa? karena isinya hanya gosip politik, bagaimana menghentikannya?

  24. waduh, bisa bahaya ini. Saya pake kartu Im3 yang masih masuk dalam group indosat. Bisa sampai segitunya bagi-bagi nomer pelanggan

  25. Saya sering sekali dapat sms dari INDOSAT. Ya sendernya INDOSAT, tapi isinya iklan dari pihak ketiga. Pernah saya tanyakan kenapa bisa sendernya INDOSAT, dijawab memang indosat kerjasama dgn pihak ketiga. klo bapak mau berhenti berlangganan silahkan unreg (jawaban ga nyambung).

  26. Saya pake matrix dan udah nyoba klik link diatas dan gak keluar tuh no telp saya…apa berarti ini cuma utk sim indosat yg prabayar?

  27. Kalau pakai Opera Mini, nomornya nggak tampil. Tapi kalo pakai perambah bawaannya Nokia, nomornya kelihatan. Kesimpulannya: pakai Opera saja!

  28. Apes, ternyata saya kena jebakan betmen content provider juga. Saya pake kartu halo, kemaren ini iseng maen game di ponsel, dan tanpa sengaja nge-klik link iklan (karena layarnya kecil :p).

    Dan sudah dua hari ini dikirim SMS Premium…

    Kacau dah…

  29. Katanya sih sekarang kalo kita kirim sms kata STOP ke nomer yg mengirimi kita konten berbayar, pihak penyelenggara wajib menghentikan pengiriman konten dan pemotongan pulsa.

  30. pri kalo gini ceritanya buat dapetin nomer telp, berarti yang jual vocer elektronik bisa jadi tersangka juga dong ya

  31. woh jadi begitu tho ceritanya om pri? ck ck ck..

    kalo gitu kalo sampe ada operator tidak mengakui mereka berbuat curang, saya bisa melawan dengan menggunakan argumen yang dipaparkan di blog keren ini ;)

    *si surabaya pernah pihak telkomsel dihubungi radio suara surabaya terkait masalah seperti ini dan mereka mengelak membagikan nomor hp ke konten provider*

  32. Saya termasuk gaptek…tapi kalau ada penawaran apapun, langsung dihapus.
    karena memang telepon hanya untuk sms dan menelepon….mungkin ini mengamankan juga daripada terjadi kekeliruan…

    Tanpa inipun penawaran rasanya makin banyak saja….

  33. Saya sudah nyoba…bener juga…bisa nongol nomornya. Hehehe…Operator lain bisa gak ya? Lumayan buat ngecek nomor HP kalo pas gak cukup pulsa bahkan buat miscall/SMS…Mau isi ulang elektronik kudu tau nomor…Isi voucher fisik males ke toko…hehehe…

  34. Pemerintah (BRTI) ngga bakal ngurus ginian, entah apa kerjanya/gunanya BRTI itu. Saya pernah protes masalah layanan premium yang autoregister ke BRTI cc milis kampus. Beberapa hari kemudian BRTI MENGAKU TIDAK BISA APA-APA KARENA TIDAK ADA LAPORAN MASYARAKAT. Jadi kerja BRTI cuman nunggu laporan. Herannya berbulan-bulan seperti tak ada satupun laporan! :p

  35. knpa hp no saiia gk bsa ngirim sms???

    pshal hp,udh bner,pulsa ada, sinyal bnyal..
    knpa itu ?? saiia kcewa.

Leave a Reply to joe Cancel reply

Your email address will not be published. Required fields are marked *