Psst… You can track everybody’s phone records!

I mean everybody can track your phone records. ;-) Kebetulan saya lagi nyari-nyari solusi soal strong authentication system, dan saya jadi teringat kasus dulu tahun 2000 (kalau tidak salah). Bahwa ada satu problem di Plasa.com yang saya pikir sudah di-fix sekarang, tapi terakhir saya cek ternyata belum: yaitu siapapun (well, as long as you can click on the Internet) bisa melihat dan mentrack data-data penggunaan telepon milik orang lain! (Plasa.com is owned by Telkom. So, there.) Yah, barangkali tidak semua nomor juga, hanya yang terdaftar di Divre 1, 2, 3, 4, 5, dan 6 (kalau nggak mau bilang semua). Total, sejauh ini, yang signed-in 88.000 pelanggan. ;-)

Saya termasuk yang sbodo amat kalau data-data penggunaan telepon saya diintip orang — yah, in some extent. Tapi ya males juga, karena lebih jauh, kita bisa bicara soal corporate spionage dari sini, termasuk tentang bandit-bandit jaman sekarang yang bisa mengembangkan ide-ide dari informasi yang sederhana ini, di luar yang saya bisa bayangkan. Anyway, begini problemnya:

Melalui Plasa.com ini, Telkom, seperti tertulis di sana, “…menawarkan kemudahan kepada anda yang ingin mengetahui rincian detail percakapan telepon bulanan melalui Info Billing Telepon via Internet…” Dan, oh ya, gratis! Cool! Maka saya pun mencoba melakukan registrasi, online. Memasukkan profil pribadi lengkap, plus nomor telepon. Klik “Daftarkan”, beres sudah. Begitu terdaftar, maka servis ini akan mulai meng-inquiry usage bulanan dari Telkom. Oke, bulan depan saya baru bisa melihat rinciannya.

Tapi, sebentar… bukankah ada yang aneh dari proses pendaftaran ini? Yakni: darimana Plasa.com tahu bahwa saya lah pemilik nomor telepon itu??!

Maka, saya coba mendaftarkan kembali nomor telepon saya ini, namun kali ini dengan user ID yang lain… dan sukses! Lalu saya daftarkan lagi, dan kali ini nomor telepon orang lain… dan sukses!! Oh no, they don’t authenticate me! Mereka bahkan tidak mencek apakah nomor telepon ini sudah didaftarkan oleh seseorang atau belum (1 nomor telepon bisa dimiliki oleh lebih dari 1 account).

Penasaran, data-data apa aja sih yang ada di situ. Maka sebulan kemudian, saya cek kembali account-account itu, dan saya memperoleh data-data seperti berikut ini:

(1) Ringkasan biaya bulanan: abonemen, lokal, SLJJ, SLI, Telkomnet, tunggakan. Semuanya.

(2) Rincian SLJJ dan SLI: tanggal berapa, jam berapa, nomor tujuan, durasi, biaya, airtime.

Wah! Rada komplit, nih. Gaswat!

Tapi, menurut saya, ini salah. (Semoga nggak fatal aja). Sudah jadi common-sense kok sekarang ini: data pelanggan, sifatnya pribadi, harus diproteksi. Ya nggak sih? Sistem ini musti ada authentication, bahwa you are as you told you are. Nggak tahu nih, apakah ini standard mereka, atau cuma saya yang sok privacy? Dan nggak tahu juga, apakah ada orang lain yang sudah melakukan ini, entah untuk tujuan apa. Should I write them?

Update: I wrote them, 02/03/06.

12 Comments »

Leave a comment

Line and paragraph breaks automatic, e-mail address never displayed, HTML allowed: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>