Seberapa sering Anda menggunakan aplikasi Zoom untuk mengadakan pertemuan secara online dengan rekan-rekan bisnis Anda sejak bekerja dari rumah?
Zoom layaknya primadona di tengah krisis pandemi global yang terjadi saat ini. Sejak mewabahnya virus corona di berbagai belahan dunia yang membuat sebagian besar dari kita harus bekerja dan belajar dari rumah, aplikasi teleconference ini dapat dikatakan sebagai salah satu yang paling diunggulkan. Diluncurkan pada tahun 2011 oleh Eric Yuan, Forbes mencatat bahwa Zoom telah mengalami peningkatan jumlah pengguna mulai dari 10 juta hingga 200 juta dalam waktu beberapa bulan terakhir.
Namun sayangnya, kemajuannya yang pesat dan kenyamanan yang ditawarkan nyatanya harus tercoreng dengan beberapa kasus yang telah bermunculan. Mulai dari Zoombombing hingga masalah kebocoran data pribadi, sisi keamanan Zoom pun mulai dipertanyakan. Pemerintah Taiwan sudah meminta institusi di negaranya untuk berhenti menggunakan Zoom, Singapura sempat melarang guru-guru di sekolah untuk mengajar menggunakan media ini, senat Amerika Serikat dihimbau untuk berhenti menggunakannya, dan FBI telah mengeluarkan peringatan terkait kasus Zoomraiding yang terjadi saat teleconference dan kelas online. Bukan hanya itu, Google telah melarang penggunaan Zoom karena mereka menganggap aplikasi ini tidak memenuhi standar keamanan mereka dan Elon Musk juga tidak memperbolehkan pegawai SpaceX memakainya.
Jadi, bahaya apa saja yang ada di balik kebesaran nama Zoom saat ini?
1. Zoombombing
Kasus Zoombombing atau yang dikenal juga dengan Zoomraid baru-baru ini marak terjadi, di mana orang tak dikenal menyusup dan bergabung dalam sebuah konferensi video untuk kemudian menginterupsi dengan meneriakkan hate speech yang ditujukan kepada kelompok tertentu, menggunakannya sebagai media pornografi dan rasisme, atau menyebarkan gambar-gambar yang kurang pantas dan konten ofensif. Mereka pun sangat mungkin untuk mengikuti pembicaraan di sepanjang meeting dan mendengar hal-hal yang konfidensial di perusahaan Anda.
Dua contoh kasus di Massachusets membuat FBI mengeluarkan peringatan. Insiden pertama terjadi di sekolah menengah di mana seseorang yang tak dikenal bergabung dalam kelas online yang dilakukan lewat Zoom dan ia kemudian meneriakkan kata-kata kotor dan alamat guru itu di tengah kegiatan belajar mengajar. Insiden kedua di kota yang sama terjadi saat sebuah sekolah melaporkan bahwa seseorang menginterupsi pertemuan online mereka dan ia menunjukkan tato swastika.
Untuk mencegahnya, Untuk mencegahnya, pastikan Anda telah memperbarui aplikasi ke versi Zoom terkini karena pihak penyedia telah melakukan beberapa perubahan fiturnya, termasuk menyembunyikan nomor ID konferensi online Anda.
Zoom juga telah memberikan panduan agar Anda terhindar dari ancaman Zoombombing, di antaranya adalah:
- Tidak sembarangan membagikan tautan meeting di media sosial atau forum publik karena siapapun yang memiliki link Anda dapat bergabung di meeting yang Anda buat. Jika Anda bertindak sebagai host, buatlah password yang unik untuk mencegah orang tak dikenal yang telah memiliki link ikut bergabung.
- Hindari untuk menggunakan Personal Meeting ID (PMI) untuk mengadakan pertemuan online publik sebab bila orang lain memiliki PMI Anda maka ia bisa bergabung di meeting yang Anda buat kapan saja
- Gunakan fitur Waiting Room untuk mengontrol partisipan meeting
- Selain itu, sebagai host Anda juga bisa mengontrol partisipan dengan cara hanya mengizinkan partisipan yang diundang melalui email untuk bergabung dalam meeting, kunci "ruang" meeting online Anda, menghilangkan tamu yang tak dikenal dalam meeting, mematikan video dan audio partisipan yang mengganggu, mematikan fitur transfer file dan anotasi, dan mematikan fitur obrolan pribadi.
2. Tidak didukung enkripsi end-to-end
Enkripsi end-to-end berfungsi untuk melindungi data sesama pengguna dari pengirim ke penerima dan mencegah pihak ketiga untuk mengaksesnya namun sayangnya Zoom tidak dilengkapi dengan enkripsi ini. Seorang juru bicara Zoom menyampaikan kepada The Intercept bahwa Zoom saat ini tidak memungkinkan untuk menerapkan enkripsi end-to-end untuk video meeting. Alih-alih, mereka menggunakan enkripsi TLS untuk mengamankan meeting, yakni teknologi yang sama seperti yang digunakan untuk mengamankan website HTTPS. Enkripsi transport ini berbeda dengan enkripsi end-to-end yang artinya Zoom bisa mengakses konten video dan audio meeting. Menurut situs yang sama, percakapan Anda akan aman dari orang-orang yang mengintai jaringan Anda namun bisa dibuka oleh pihak Zoom. Menanggapi hal ini, Zoom telah melakukan klarifikasi lewat blognya.
3. Akun Zoom diperjualbelikan
Baru-baru ini muncul laporan bahwa sebanyak lebih dari 500.000 akun Zoom yang tak hanya diperjualbelikan namun juga disebarkan secara gratis di forum peretas dan dark web. Melansir situs Business Insider, data ini merupakan hasil temuan dari peneliti perusahaan keamanan cyber bernama Cyble yang disampaikan kepada Bleeping Computer.
Menurut Cyble, akun-akun tersebut dijual seharga 0,0020 dolar Amerika per akun (sekitar 31,5 rupiah), termasuk alamat email, password, URL meeting, dan enam digit angka PIN yang biasa digunakan oleh host. Sementara itu, sebagian akun yang disebarkan secara cuma-cuma nantinya dapat digunakan sebagai sasaran Zoombombing. Para peretas menggunakan strategi yang disebut dengan credential stuffing, di mana serangan cyber dilakukan dengan memanfaatkan Anda yang memakai password dan username yang serupa. Oleh karena itu, penting bagi Anda untuk membuat kata sandi yang unik dan berbeda-beda untuk menghindari hal-hal yang tidak diinginkan.
4. Data video call terkirim ke China
Lewat pernyataan melalui blog yang diunggah pada tanggal 3 April untuk menanggapi penelitian dari University of Toronto, Zoom menyatakan bahwa mereka menambah kapasitas server guna meningkatkan pelayanan dan memulainya di China. Mereka mengakui bahwa selama proses itu mereka gagal untuk mengimplementasikan praktik geo-fencing secara menyeluruh sehingga ada kemungkinan jika beberapa meeting terkoneksi ke sistem yang ada di China yang seharusnya tidak terjadi.
Zoom kembali mengeluarkan pernyataan di blognya pada tanggal 13 April bahwa per tanggal 18 April pengguna Zoom berbayar dapat mengontrol data transit mereka dan memilih region sebagai data center mereka, namun tetap tidak bisa mengubah region default. Saat ini region data Zoom terbagi ke kelompok Amerika Serikat, Kanada, Eropa, India, Australia, China, Amerika Latin, dan Jepang/Hong Kong. Sementara bagi pengguna aplikasi gratis, Anda tidak dapat mengubah region default tetapi pihak Zoom mengutarakan bahwa datanya tidak akan melewati jaringan di China.
5. Pengguna Windows rentan diretas
Selain melalui video, Zoom juga dilengkapi dengan fitur chat yang memungkinkan penggunanya melakukan obrolan lewat pesan teks. Teks URL yang dikirimkan melalui chat akan berubah menjadi hyperlink agar si penerima dapat segera sampai ke situs yang dimaksud setelah meng-klik tautan tersebut.
Sayangnya, seorang peneliti keamanan yang menemukan bahwa klien Zoom juga akan mengubah jalur UNC di jaringan Windows dalam bentuk link yang bisa diklik di pesan teks. Hal ini diungkapkan oleh situs Bleeping Computer yang kemudian menjelaskan apa yang terjadi apabila pengguna membuka tautan UNC tersebut. Saat diklik, Windows akan terhubung dengan situs remote dengan menggunakan protokol file sharing SMB dan di saat yang sama sistem operasi ini juga akan mengirim username dan password NTML yang dapat dipecahkan menggunakan aplikasi gratis bernama Hashcat untuk mengungkap password si pengguna dalam waktu singkat.
Oleh karena itu, pengguna Zoom dengan sistem operasi Windows rentan terhadap injeksi jalur UNC di fitur chat yang memungkinkan para peretas mencuri kredensial Windows pengguna yang meng-klik tautannya.
6. Dan berhati-hatilah dengan webcam dan microphone bagi pengguna Mac
Patrick Wardle, seorang peneliti keamanan di Jamf yang juga mantan peretas NSA (National Security Agency) di Amerika Serikat mengungkapkan kelemahan Zoom yang baru. Mengutip dari situs Time, sistem operasi Mac versi desktop yang telah terinfeksi malware dapat memungkinkan peretas untuk menguasai sistem serta membajak webcam dan microphone Anda. Zoom telah memperbaikinya sesuai dengan pernyataan yang mereka sampaikan di blognya per tanggal 1 April 2020.
7. Zoom mengirimkan data ke Facebook
Analisa dari Motherboard mengungkapkan bahwa Zoom membagikan data penggunanya ke Facebook meskipun si pengguna tidak memiliki akun media sosial tersebut. Aplikasi yang memungkinkan penggunanya terkoneksi ke Facebook menggunakan software development kits (SDK) memang lumrah dilakukan, namun masalahnya Zoom tidak menyampaikan hal ini secara eksplisit dan spesifik dalam kebijakan mereka sehingga penggunanya tak sadar bila data mereka juga terkirim ke layanan lainnya ketika membuka aplikasi Zoom.
Menurut analisa Motherboard yang dikutip dalam Vice, Zoom akan terhubung dengan Graph API Facebook ketika aplikasinya diunduh dan dibuka. Graph API ini sendiri adalah jalan utama bagi para pengembang untuk mendapatkan atau mengeluarkan data dari Facebook.
Menanggapi masalah ini, Zoom telah membuat pernyataan dan mengakui bahwa mereka awalnya menerapkan fitur 'Login with Facebook' menggunakan SDK guna memberikan kenyamanan bagi para penggunanya untuk mengakses platform mereka namun kemudian menyadari bahwa SDK tersebut mengumpulkan data-data yang tidak perlu. Per tanggal 27 Maret, Zoom telah menghapus SDK Facebook bagi pengguna iOS dan berupaya untuk mencegah terjadinya penarikan informasi dari pemakai aplikasi ini.
Langkah perbaikan
Banyaknya kasus terkait keamanan data penggunanya yang mencuat di publik, Zoom pun mengambil langkah untuk memperbaiki kesalahan mereka. Pada tanggal 1 April lalu, CEO perusahaan yakni Eric Yuan telah menulis permohonan maafnya lewat blog dan menuliskan upaya yang dilakukan oleh timnya. Selain beberapa hal yang sudah dijelaskan dalam artikel ini, upaya lain yang dilakukan oleh Zoom di antaranya adalah:
- Memberikan tutorial dan webinar interaktif secara gratis bagi penggunanya untuk mengenal aplikasi Zoom
- Memberikan cara-cara pencegahan Zoombombing untuk menanggapi masalah interupsi dari tamu tak diundang per tanggal 20 Maret 2020
- Memberikan panduan bagi pengajar untuk mengatur serta mengamankan kelas virtual
- Mengklarifikasi soal enkripsi Zoom per tanggal 1 April dan menghilangkan fitur attention tracker secara permanen
- Menghapus fitur LinkedIn Navigator Sales secara permanen
- Berkomitmen untuk tidak merilis fitur baru hingga 90 hari ke depan
- Berkomitmen untuk mengatasi masalah yang terjadi secara proaktif selama 90 hari ke depan.
- Berkomitmen untuk transparan dalam hal penggunaan data dan konten
Minggu lalu, Eric Yuan juga menggandeng eks kepala keamanan Facebook yakni Alex Stamos untuk bekerja sama sebagai konsultan dalam meningkatkan keamanan dan privasi penggunaan Zoom.
(Foto courtesy of: Allie Smith dan Mika Baumeister on Unsplash, www.zoom.us)
- Tag:
- Zoombombing
- zoom
- teknologi