Seberapa Aman Sih Aplikasi Clubhouse?

Menurut SIO, masalah lainnya adalah adanya sebuah perusahaan Tiongkok, Agora, yang menyediakan layanan back-end untuk Clubhouse. Dengan akses yang dimilikinya, Agora bisa mengizinkan pemerintah Tiongkok mengakses audio mentah pada Clubhouse.

Peneliti keamanan Jane Manchun Wong mengatakan sebuah kerentanan pada desain back-end Clubhouse memungkinkan pengguna untuk mengalirkan data audio secara terprogram dari API Agora tanpa memakai aplikasi Clubhouse. Pada saat ia meneliti, ia bisa mendengarkan beberapa ruangan secara bersamaan.

Selain itu menurut Wong, Agora tidak mencampur audio dari speaker menjadi satu, sehingga hal ini bisa memfasilitasi pengumpulan data yang tidak perlu.

"Trek audio dari tiap speaker dialirkan ke smartphone pengguna melalui Agora dan diputar secara bersamaan. Tiap trek audio berisi metadata termasuk ID pengguna yang sesuai. Ini membuat pengumpulan dan pemrosesan data tiap individu menjadi lebih mudah," tutur Wong memberikan penjelasan.

Sementara, Clubhouse mengatakan, pihaknya sangat berkomitmen melindungi data dan privasi pengguna.

"Kami telah mengatasi kekurangan yang diidentifikasi SIO dan meluncurkan perubahan, menambahkan enkripsi, dan pemblokiran tambahan untuk mencegah klien Clubhouse mengirim ping ke server Tiongkok," kata juru bicara Clubhouse.

Pada sisi lain, Agora mengatakan, perusahaan tidak bisa mengkonfirmasi adanya kaitan antara Clubhouse dan privasi di aplikasinya.

Perusahaan juga menyebut, pihaknya tidak menyimpan informasi pribadi milik pengguna Clubhouse.

Bukan hanya itu, Clubhouse juga dikritik karena kurangnya kontrol moderasi untuk membuat pengguna merasa aman.

CEO sekaligus pendiri agensi The Social Element Tamara Littleton bergabung dengan Clubhouse dan menjadi moderator pada sebuah ruang obrolan.

"Tidak ada cara mengontrol apa yang diucapkan pengguna lain. Sebagai moderator, kamu bisa membuang atau melaporkan mereka, tetapi siapa pun bisa membuat sebuah ruang obrolan dengan tema apa pun, termasuk teori konspirasi," tuturnya.

Jane Manchun Wong pun bercerita mengenai insiden saat sejumlah orang pernah mengejek ruang obrolan berbahasa Kanton.

"Kami bisa melaporkan mereka. Namun, insiden ejekan ini mengganggu diskusi dan saya tidak yakin bagaimana hal ini bisa dihindari," katanya.

Clubhouse merekam seluruh audio hingga tiap orang ke luar dari ruang obrolan dan mengklaim hal tersebut demi keamanan.

Jika ternyata ada orang yang melakukan pelanggaran, Clubhouse mempertahankan audio untuk investigasi. Ketika investigasi selesai, file langsung dihapus.

Namun ada masalah keamanan yang jadi perhatian atas praktik ini. Karena audio tidak dibekali enkripsi end-to-end, rekaman audio ini bisa diakses.

Bahkan, obrolan yang direkam selama ruang obrolan berjalan membuat semua mikrofon tetap aktif, ketika mereka membuka aplikasi lain, tanpa meninggalkan ruang obrolan.

Menurut seorang ahli perlindungan data, Clubhouse mungkin tidak memiliki perlindungan keamanan dasar untuk privasi, sesuai prasyarat GDPR.

Misalnya ketika mau mengundang teman memakai Clubhouse, pengguna harus memberikan seluruh daftar kontak. Hal ini pun telah dipermasalahkan oleh regulator di Jerman.

"Aplikasi ini tidak memperhitungkan privasi by design. Tidak apa membagikan data Anda, namun pengguna harus diberi pilihan. Itulah GDPR," kata pembicara dan pakar privasi Pia Tesdorf.

Memang, ketika pengguna bergabung dengan Clubhouse, mereka hanya perlu memberikan nomor telepon. Namun, Clubhouse meminta izin akses atas kontak dan tidak mengizinkan pengguna mengundang orang lain, sampai mereka memberikan daftar kontak perangkatnya.

Spesialis keamanan siber ESET Jake Moore mengatakan, penggunaan bahasa seperti "persetujuan tertulis" secara efektif menjadi sebuah pertukaran, karena pengguna tidak bisa memakai aplikasi kecuali mengizinkan akses atas kontak.

Clubhouse juga mengakses nama, nomor telepon, email, foto, bahkan organisasi atau afiliasi pengguna.

Pihak Clubhouse pun berpendapat, fitur ini hanyalah penyerta dan tidak diperlukan saat memakai aplikasi.

"Orang bisa memilih untuk memberikan akses secara opsional ke daftar telepon, sehingga mereka bisa melihat teman mana yang ada di aplikasi," katanya.

Jane Machun Wong mengatakan, ada beberapa perbaikan yang bisa dilakukan. Pertama Clubhouse bisa membuat dirinya lebih aman dengan memastikan pengguna hanya mendengarkan satu ruangan dan masuk di satu perangkat pada satu waktu.

"Lebih baik lagi, perbaiki sistem undangan sehingga tidak membutuhkan data daftar kontak sama sekali," tuturnya.

(Tin/Isk)