0

Duh! 2 Aplikasi AI Bocorkan Jutaan Data Pengguna Android

Share
Teknologi

Fenomena aplikasi kecerdasan buatan (AI) telah merajalela, menawarkan janji-janji kemudahan dan inovasi yang memukau. Dari menghasilkan karya seni visual yang menawan hingga menyunting video dengan sentuhan ajaib hanya melalui deskripsi teks, AI telah mengubah cara kita berinteraksi dengan teknologi. Namun, di balik kilaunya kemudahan tersebut, tersimpan bayangan gelap berupa risiko keamanan data yang signifikan. Baru-baru ini, sebuah investigasi mengejutkan menyingkap bahwa dua aplikasi AI populer di Android terbukti membocorkan jutaan data pribadi pengguna, menimbulkan kekhawatiran serius tentang privasi dan keamanan di era digital yang serba AI ini.

Investigasi mendalam yang dilakukan oleh Cybernews menemukan adanya celah keamanan kritis pada aplikasi Android bernama ‘Video AI Art Generator & Maker’. Aplikasi yang menjanjikan kemampuan kreatif tanpa batas ini justru menjadi biang keladi bocornya data pengguna dalam skala masif. Tercatat, lebih dari 1,5 juta gambar pribadi pengguna, 385.000 video, dan jutaan file media buatan AI lainnya terekspos ke publik. Angka ini bukanlah sekadar statistik; di baliknya tersimpan momen-momen pribadi, ekspresi kreatif, dan mungkin juga informasi visual yang sensitif yang kini berpotensi disalahgunakan oleh pihak tak bertanggung jawab.

Akar masalah dari kebocoran data pada ‘Video AI Art Generator & Maker’ adalah kesalahan konfigurasi pada bucket Google Cloud Storage. Bagi sebagian orang, istilah teknis ini mungkin terdengar asing, namun implikasinya sangatlah serius. Bucket Google Cloud Storage adalah wadah penyimpanan data berbasis cloud yang seharusnya terlindungi dengan ketat. Ketika terjadi kesalahan konfigurasi, seperti yang ditemukan oleh peneliti keamanan Cybernews, pintu gerbang menuju data pribadi pengguna menjadi terbuka lebar, memungkinkan siapa pun yang mengetahui celahnya untuk mengakses, mengunduh, atau bahkan menyalahgunakan informasi tersebut tanpa izin. Ini seperti meninggalkan brankas berisi harta karun pribadi Anda terbuka di tempat umum.

Total volume data yang dapat diakses melalui bucket yang terekspos tersebut sangatlah mencengangkan: lebih dari 12 TB (terabyte) file media pengguna. Untuk memberi gambaran, 12 TB adalah jumlah data yang sangat besar, setara dengan ribuan film beresolusi tinggi atau jutaan foto berkualitas tinggi. Fakta ini semakin mengkhawatirkan mengingat aplikasi ‘Video AI Art Generator & Maker’ telah diunduh lebih dari 500.000 kali dari Google Play Store. Artinya, setengah juta pengguna yang mempercayakan data mereka kepada aplikasi ini berpotensi menjadi korban kebocoran, dengan konsekuensi yang mungkin belum sepenuhnya terungkap.

Namun, daftar aplikasi bermasalah tidak berhenti sampai di situ. Cybernews juga mengidentifikasi aplikasi lain bernama IDMerit yang melakukan pelanggaran data yang tak kalah serius. Aplikasi ini diketahui mengekspos data know-your-customer (KYC) dan informasi identitas pribadi (PII) milik pengguna di 25 negara berbeda, dengan konsentrasi utama di Amerika Serikat. Data KYC dan PII merupakan kategori informasi yang paling sensitif dan berharga bagi para penjahat siber, karena dapat digunakan untuk berbagai bentuk penipuan dan pencurian identitas.

Informasi yang terekspos dari aplikasi IDMerit meliputi nama lengkap pengguna, alamat, tanggal lahir, nomor kartu identitas (seperti KTP atau paspor), dan informasi kontak penting lainnya. Bayangkan dampak jika informasi pribadi Anda, mulai dari nama hingga nomor identitas resmi, jatuh ke tangan yang salah. Potensi penyalahgunaan data ini sangat luas, mulai dari pembukaan rekening bank palsu, pengajuan pinjaman atas nama korban, hingga serangan phishing yang sangat meyakinkan karena penipu telah memiliki detail pribadi yang akurat. Kebocoran ini menyoroti kerentanan mendalam dalam cara beberapa aplikasi mengelola dan melindungi data paling sensitif penggunanya.

Secara total, IDMerit telah mengekspos sekitar 1 TB data pengguna. Meskipun angka ini lebih kecil dari 12 TB yang dibocorkan oleh ‘Video AI Art Generator & Maker’, dampak dari jenis data yang bocor—yaitu data identitas—jauh lebih merusak secara pribadi. Pencurian identitas bisa memakan waktu bertahun-tahun untuk diperbaiki dan menimbulkan kerugian finansial serta emosional yang signifikan bagi korban. Informasi ini, sebagaimana dilaporkan oleh Mashable pada Selasa (24/2/2026), menjadi pengingat pahit akan perlunya kewaspadaan ekstrem dalam memilih aplikasi yang meminta detail identitas pribadi. Catatan: Tanggal 24/2/2026 kemungkinan adalah kesalahan ketik dalam sumber asli, seharusnya 2024 atau tanggal yang lebih relevan dengan saat ini.

Penyelidikan Cybernews mengungkapkan bahwa kedua aplikasi bermasalah ini, ‘Video AI Art Generator & Maker’ dan IDMerit, didistribusikan di Google Play Store oleh pengembang yang sama, yaitu Codeway. Fakta bahwa satu pengembang bertanggung jawab atas dua insiden kebocoran data yang masif ini menimbulkan pertanyaan serius tentang praktik keamanan dan tata kelola data mereka. Setelah beberapa kali dihubungi dan diberi tahu tentang celah keamanan oleh peneliti Cybernews, Codeway akhirnya bertindak dan memperbaiki masalah tersebut. Respons ini, meskipun pada akhirnya positif, menunjukkan bahwa perbaikan seringkali bersifat reaktif, bukan proaktif, dan terjadi hanya setelah kerugian data telah terjadi. Ini menyoroti pentingnya audit keamanan yang ketat dan berkelanjutan dari pihak pengembang, bukan hanya menunggu laporan dari pihak ketiga.

Para pakar keamanan siber terus-menerus memperingatkan pengguna untuk tidak sembarangan mengunduh aplikasi AI dari pengembang yang tidak dikenal atau tidak dapat dipercaya. Banyak aplikasi AI, terutama yang berasal dari sumber yang kurang terkemuka, menggunakan praktik berbahaya yang dikenal sebagai ‘hardcoding secrets‘. Praktik ini melibatkan penyisipan informasi sensitif seperti kunci API, kata sandi, atau kunci enkripsi langsung ke dalam source code aplikasi. Ketika informasi sensitif tersebut disematkan secara langsung, ia menjadi rentan terhadap serangan rekayasa balik (reverse engineering). Seorang penyerang yang berhasil mendekompilasi aplikasi dapat dengan mudah mengekstrak ‘rahasia’ ini, yang kemudian dapat digunakan untuk mengakses sistem backend pengembang, data pengguna, atau bahkan melancarkan serangan yang lebih luas. Ini adalah celah keamanan fundamental yang seharusnya dihindari oleh pengembang mana pun yang serius tentang keamanan.

Hasil analisis Cybernews yang lebih luas menunjukkan bahwa masalah ini bukanlah kasus terisolasi. Mereka menemukan bahwa 72% dari ratusan aplikasi AI yang tersedia di Google Play Store memiliki praktik keamanan serupa yang rentan terhadap eksploitasi. Angka yang mencengangkan ini menunjukkan bahwa sebagian besar ekosistem aplikasi AI di platform Android mungkin menyimpan bom waktu keamanan yang siap meledak. Ini berarti bahwa risiko yang dihadapi pengguna Android jauh lebih besar daripada sekadar dua aplikasi yang teridentifikasi. Hampir tiga perempat aplikasi AI yang ada berpotensi membahayakan data penggunanya karena praktik pengembangan yang buruk.

Oleh karena itu, pengguna Android harus ekstra hati-hati saat mengunduh aplikasi AI, bahkan jika aplikasi tersebut tersedia di Google Play Store. Meskipun Google memiliki pedoman keamanan dan proses peninjauan aplikasi, insiden seperti ini menunjukkan bahwa beberapa aplikasi berbahaya atau rentan masih bisa lolos dari pengawasan. Google Play Store, meskipun merupakan sumber aplikasi yang paling umum dan terpercaya bagi pengguna Android, bukanlah jaminan mutlak keamanan. Pengguna harus mulai mengadopsi pola pikir kritis dan proaktif dalam melindungi data mereka sendiri.

Ada beberapa langkah yang bisa diambil pengguna untuk meningkatkan keamanan:

  1. Periksa Izin Aplikasi: Selalu perhatikan izin yang diminta aplikasi saat instalasi. Apakah aplikasi pengedit foto AI benar-benar membutuhkan akses ke mikrofon atau daftar kontak Anda? Jika ada izin yang terasa tidak relevan, itu bisa menjadi tanda bahaya.
  2. Baca Ulasan Pengguna: Ulasan pengguna seringkali menjadi indikator awal masalah. Cari tahu apakah ada keluhan tentang privasi, kinerja, atau iklan yang berlebihan.
  3. Cari Tahu Reputasi Pengembang: Lakukan riset singkat tentang pengembang aplikasi. Apakah mereka memiliki riwayat aplikasi yang aman dan terpercaya? Apakah mereka memiliki situs web resmi dengan kebijakan privasi yang jelas?
  4. Hindari Aplikasi yang Terlalu Bagus untuk Jadi Kenyataan: Aplikasi yang menawarkan fitur premium secara gratis atau janji-janji yang terlalu fantastis mungkin memiliki motif tersembunyi, seperti mengumpulkan data Anda.
  5. Gunakan VPN: Untuk beberapa aplikasi yang mengharuskan koneksi internet, menggunakan VPN dapat menambahkan lapisan keamanan tambahan, terutama saat menggunakan jaringan Wi-Fi publik.
  6. Perbarui Sistem Operasi dan Aplikasi Secara Teratur: Pembaruan seringkali menyertakan patch keamanan penting yang memperbaiki kerentanan yang diketahui.

Dampak dari kebocoran data semacam ini tidak hanya terbatas pada kerugian finansial atau risiko pencurian identitas. Ada juga dampak psikologis yang signifikan bagi korban, seperti stres, kecemasan, dan hilangnya kepercayaan terhadap teknologi dan layanan digital. Bagi perusahaan pengembang, insiden seperti ini dapat merusak reputasi secara permanen, menimbulkan tuntutan hukum, dan denda besar dari regulator perlindungan data seperti GDPR di Eropa atau CCPA di California.

Dalam era di mana AI semakin terintegrasi dalam kehidupan sehari-hari, tanggung jawab untuk memastikan keamanan data harus diemban bersama. Pengembang memiliki kewajiban moral dan hukum untuk menerapkan praktik keamanan terbaik sejak awal proses pengembangan (security by design). Platform distribusi aplikasi seperti Google Play Store perlu memperketat proses peninjauan dan audit keamanan mereka, mungkin dengan teknologi AI sendiri untuk mendeteksi kerentanan yang tersembunyi. Dan yang terpenting, pengguna harus menjadi garis pertahanan terakhir, dengan bersikap cerdas dan waspada dalam setiap keputusan mengunduh dan menggunakan aplikasi.

Insiden kebocoran data oleh ‘Video AI Art Generator & Maker’ dan IDMerit ini adalah peringatan keras bagi kita semua. Kecanggihan AI seharusnya tidak mengorbankan keamanan dan privasi. Kita harus terus menuntut standar keamanan yang lebih tinggi dari pengembang dan platform, sambil secara aktif melindungi diri kita sendiri di tengah lanskap digital yang terus berubah dan penuh tantangan ini. Hanya dengan pendekatan kolektif dan multi-pihak, kita bisa benar-benar menikmati manfaat AI tanpa harus terus-menerus mengkhawatirkan keamanan data pribadi kita.

Tags:

Rif'an Muazin

Rif'an Muazin adalah Seorang Lelaki, Suami dan Ayah 3 Putra, Lelaki Kelahiran Pati, Tinggal di Bantul Yogyakarta. Hobi membuat Group FB, Channel dan Group Telegram. Coder / Programmer PHP Creator AliSuite, ShopeeSuite, BookSuite, WallSpot, WallSpot Plus, TubeSpot. Seorang Muslim, Madhab Syafi'i bermanhaj Salafy.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *

Rif'an Muazin
Wajib Syukur Ing Allaah Keduwe Mukmin, Kang Pinaringan Iman ing Dalem Bathin, Laku Syukur Tinggal Dosa sabab wirang Ising, Labete Syukur Soyo Wuwuh Ati Yakin. - Syaikhina K.H. Ahmad Rifa'i