Sejak adanya wabah Covid-19, aplikasi pertemuan daring Zoom menjadi semakin populer, tidak hanya di Indonesia melainkan di seluruh Dunia. Sampai-sampai “nge-zoom” menjadi istilah tersendiri dalam melakukan kegiatan pertemuan daring.
Banyak orang yang mengatakan bahwa aplikasi Zoom memiliki kualitas yang lebih baik daripada aplikasi-aplikasi pertemuan daring lainnya. Akan tetapi, aplikasi ini terbukti memiliki beragam celah keamanan yang bisa dieksploitasi oleh orang-orang yang tidak bertanggung jawab untuk mencuri berbagai macam informasi para pengguna Zoom, maupun mengganggu proses berjalannya pertemuan. Beberapa pihak bahkan melarang penggunaan Zoom di dalam institusi mereka seperti perusahaan Google, SpaceX, Pemerintah Taiwan, Kementerian Luar Negeri Jerman, serta Senat Negara Amerika Serikat juga melarang lembaganya untuk menggunakan aplikasi zoom.
Secara garis besar terdapat tiga kategori permasalahan yang dimiliki oleh aplikasi Zoom, yaitu enkripsi, privasi, dan keamanan akses. Dalam hal enkripsi, beberapa pihak mengatakan bahwa Zoom tidak menggunakan sistem enkripsi end-to-end, melainkan menggunakan kombinasi TCP (transmission control protocol) dan UDP (user datagram protocol), yang intinya bahwa data yang kita bagikan kepada sesama pengguna Zoom aman dari siapapun yang memata-matai akses jaringan kita, tetapi tidak terhadap perusahaan Zoom itu sendiri.
Dalam hal privasi, pihak perusahaan Zoom pernah dituntut oleh salah satu penggunanya pada bulan Maret 2020 karena aplikasi Zoom pada sistem operasi Apple iOS milik pengguna tersebut mengirimkan data pribadi berupa informasi perangkat yang digunakan serta lokasi pengguna kepada pihak Faceboook tanpa izin. Masalah ini pada dasarnya lebih kepada masalah prosedur, alih-alih masalah teknis. Di dalam informasi kebijakan privasi, pihak perusahaan Zoom tidak menyebutkan bahwa data pengguna akan dikirimkan ke pihak ketiga. Setelah kejadian tersebut, pihak Zoom akhirnya menghilangkan kode program untuk mengirimkan data pengguna kepada pihak Facebook.
Terdapat berbagai macam permasalahan dalam aspek keamaan akses Zoom. Menurut salah satu pakar keamanan IT yang dimuat dalam media Hackernews, aplikasi Zoom untuk sistem operasi Windows memiliki kelemahan terhadap serangan UNC path injection. Kelemahan ini memungkinkan penyerang untuk mencuri identitas pengguna Zoom pada Windows. Bahkan, lebih jauhnya lagi memungkinkan penyerang untuk mengeksekusi perintah ke sistem operasi.
Perusahaan intelijen AS, Cybersecurity Cyble mengatakan kepada jurnalis Bleeping Computer bahwa pada 1 April 2020 mereka melihat ada proses jual-beli akun Zoom di salah satu forum peretas (hacker). Dari lebih 500 ribu akun Zoom yang dijual, terdapat 290 akun Zoom yang memiliki keterkaitan dengan beberapa universitas ternama di Amerika Serikat seperti Universitas Vermont, Universitas Colorado, Universitas Florida, dan masih banyak lainnya. Selain itu, ada juga akun-akun Zoom dari perusahaan ternama di Amerika Serikat seperti Chase dan Citibank yang dijual pada forum tersebut.
Peneliti keamanan cyber di Citizen Lab Kanada melaporkan beberapa kasus penggunaan Zoom di Amerika Utara yang menggunakan akses server dari China sehingga percakapan yang dilakukan oleh orang yang berada di Amerika Utara dapat diakses oleh data center Zoom yang berada di Cina. Kemudian, pihak perusahaan Zoom meminta maaf atas kasus tersebut dan mengklaim bahwa server mereka di Amerika utara mengalami kelebihan beban sehingga akses pengguna dari Amerika utara harus diarahkan ke server mereka yang berada di China. Hal ini penting untuk menjaga reliabilitas aplikasi Zoom, terutama pada saat beban server yang tinggi atau karena adanya kendala pada akses jaringan.
Masalah lain dari aspek keamanan adalah “zoombombing”, yakni kondisi ketika orang-orang secara ilegal memasuki suatu room pertemuan daring dan melakukan aktivitas yang mengganggu pelaksanaan pertemuan daring tersebut. Sebagian besar terjadinya zoomboming karena kelalaian dari pihak pengguna itu sendiri dengan menyebarluaskan informasi tautan (URL) undangan pertemuaan daring lengkap dengan meeting ID-nya di forum-forum ataupun di media sosial. Beberapa pengguna melakukan tangkapan layar terhadap sesi pertemuaan daring mereka, mengunggahnya di media sosial, dan pada pojok layar atas dari Zoom yang sedang aktif terdapat meeting ID sehingga siapapun bisa masuk ke pertemuan daring tersebut. Zoom segera merespon kejadian ini sehingga Meeting ID pada layar Zoom yang baru telah dihilangkan.
Pada dasarnya tidak ada aplikasi di internet yang benar-benar aman. Dari waktu ke waktu perusahaan pembuat aplikasi selalu melakukan pembaruan keamanan, tetapi selalu ada celah keamanan yang muncul dan bisa dimanfaatkan oleh orang yang tidak bertanggung jawab. Di sisi lain, perusahaan aplikasi memiliki peluang besar untuk memanfaatkan data yang ada pada sistem mereka demi keuntungan perusahaan. Oleh karena itu, perhatikan dan baca license agreement yang dibuat oleh perusahaan dengan terperinci. Pastikan bahwa pihak perusahaan menyatakan akan menjamin keamanan dan privasi data pengguna, karena hal tersebut yang dapat dijadikan landasan hukum bagi para pengguna jika perusahaan melakukan pelanggaran terhadap pengguna.
Kalaupun kita memilih untuk meninggalkan penggunaan aplikasi Zoom, beralih menggunakan alternatif yang lain, belum tentu masalah terkait privasi dan keamanan aplikasi benar-benar hilang. Jauh sebelum isu keamanan Zoom ini merebak, kita tentu masih ingat dengan beberapa isu penggunaan data pengguna untuk keperluan analisis politik, yang menimpa salah satu perusahaan media sosial yang popular. Ada pula kejadian pemanfaatan data-data pengguna oleh sebuah perusahaan mesin pencari untuk keperluan pemasaran. Pada akhirnya, sampai saat ini orang-orang masih saja memakai media sosial dan mesin pencari tersebut untuk aktivitas sehari-hari di Internet.
Bahan bacaan:
- https://www.zdnet.com/article/zooms-fall-google-bans-zoom-from-staffers-gear/
- https://www.cnet.com/news/spacex-reportedly-bans-use-of-zoom-videoconferencing-app-by-employees/
- https://www.zdnet.com/article/taiwan-instructs-government-agencies-not-to-use-zoom/
- https://www.zdnet.com/article/us-senate-german-government-tell-staff-not-to-use-zoom/
- https://www.techrepublic.com/article/experts-question-abrupt-decision-by-new-york-city-to-ban-zoom-from-use-in-all-public-schools/
- https://theintercept.com/2020/03/31/zoom-meeting-encryption/
- https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/
- https://www.theverge.com/2020/3/28/21197967/zoom-ios-app-code-tracking-facebook
- https://thehackernews.com/2020/04/zoom-windows-password.html
- https://thehackernews.com/2020/04/zoom-windows-password.html
- https://www.bleepingcomputer.com/news/security/over-500-000-zoom-accounts-sold-on-hacker-forums-the-dark-web/
- https://techcrunch.com/2020/04/03/zoom-calls-routed-china/
- https://techcrunch.com/2020/03/17/zoombombing
- https://www.zdnet.com/article/make-sure-your-zoom-meetings-are-safe-by-doing-these-10-things/
- https://www.zdnet.com/article/former-facebook-cso-alex-stamos-to-join-zoom-as-outside-security-consultant/
- https://www.nytimes.com/2018/03/19/technology/facebook-cambridge-analytica-explained.html
- https://techcrunch.com/2016/08/25/whatsapp-to-share-user-data-with-facebook-for-ad-targeting-heres-how-to-opt-out/
- https://www.theverge.com/2020/5/1/21244058/google-meet-microsoft-teams-webex-personal-data-collection-privacy-policy-concerns
Penulis:
Galih Nugraha Nurkahfi, Peneliti di Lembaga Ilmu Pengetahuan Indonesia.
Kontak: galihnugrahanurkahfi(at)gmail.com