Jakarta, Cyberthreat.id - Saat ini, aplikasi TrueCaller tengah menjadi perbincangan hangat warganet. Seorang warganet @abheemanyun mencoba menelisik nomor-nomor telepon di Whatsapp Group (WAG) anak STM dengan aplikasi besutan developer Swedia itu. Hasilnya, beberapa nomor tersebut diduga milik polisi. Beberapa media malah langsung menelepon ke satu dua nomor dan hasilnya semakin menguatkan dugaan nomor tersebut milik polisi. Temuan ini pun menjadi viral dan mendapat banyak tanggapan.

Sebagian warganet menilai polisi tampaknya telah menyusup di WAG anak STM seperti G30S STM ALLBASE,  ANAK STM K*** BACOT, STM SEJABODETABEK, STM/K BERSATU untuk mendiskreditkan unjuk rasa siswa STM 24 September lalu. Sebagian lagi menilai adanya penyesatan informasi karena nama-nama polisi yang muncul seperti "Bripda Raski Prov Mabes", "Briptu Renaldo", atau "Bripda Eggy Septiadi" bisa jadi nama-nama yang diberikan pihak lain. Mekanisme "crowdsourcing" Truecaller memang memungkinkan hal itu. Nama yang muncul dari sebuah nomor ponsel merupakan nama yang ada di database Truecaller. Misalnya nomor 08186xxxxx disimpan oleh banyak pengguna Truecaller sebagai "Mr. Trump", maka nama "Mr. Trump" yang akan mewakili nomor 08186xxxxx tersebut. Jika pun nomor tersebut berpindah tangan, nama tersebut masih akan tersimpan di database Truecaller.

Di luar soal siapa sebenarnya pemilik nomor-nomor di WAG anak STM tersebut, masalah yang patut menjadi perhatian adalah privasi data penggunanya. Sebagian besar pengguna Truecaller ingin menghindari panggilan spam atau panggilan tidak dikenal, yang merupakan tujuan awal Truecaller dibuat oleh Alan Mamedi dan Nami Zarringhalam, pada 2009. Ketika pengguna mendapatkan panggilan dari nomor yang tidak disimpan di phonebook-nya, Truecaller akan memeriksa nomor tersebut di database dan memberitahu nama atau predikat nomor tersebut yang ada di database. Misalnya "Telemarketer", "Asuransi", "Mr. Trump", atau nama asli pemilik nomor. Sungguh bermanfaat! Benarkah?

Ada masalah privasi yang masih patut dipertanyakan. Poin-poin berikut ini akan membantu Anda untuk memutuskan apakah Anda masih menginginkan Truecaller atau tidak.

1. Aplikasi ini telah terpasang di 250 juta ponsel, sekitar 60% pengguna berasal dari India. Aplikasi ini memblok 480 juta panggilan telepon spam per bulan.
2. Truecaller memiliki 3 miliar nomor ponsel di database-nya (data Oktober 2018). Database ini menangani sekitar 4,2 miliar pencarian nomor ponsel setiap bulan.
3. Truecaller akan memasukkan nomor ponsel pengguna ke database namun ia tidak langsung memasukkan semua kontak di ponsel pengguna ke database karena aksi ini akan melanggar kebijakan Google Play dan Apple Store. Google dan Apple membolehkan aplikasi mengakses data pengguna namun melarang developer membangun database dari data itu untuk dimanfaatkan aplikasi. Truecaller melakukannya secara tidak langsung.  Pada syarat awal saat install Truecaller menyatakan: "We process your profile data (name, email, address etc.) and information about your activity on our website including browser information, IP address etc." Data kontak di ponsel pengguna akan diolah bersamaan dengan data dari media sosial pengguna dan mitra Truecaller yakni penyedia jasa direktori telepon seperti White and Yellow Pages. Data lain yang turut diolah adalah data dari "komunitas", ini adalah para pengguna Truecaller yang memberikan nama untuk nomor-nomor yang tidak dikenal dan mengirimkannya ke database. Setelah diolah, nomor dan nama yang "akurat" akan masuk ke database. Pengguna bisa mengubah namanya yang muncul di database melalui "Edit Profile" di aplikasi atau "Suggest Name" di website.
4. Server Truecaller diretas Syrian Electronic Army (SEA) pada 17 Juli 2013. Pihak Truecaller mengakui hal itu namun menyatakan bahwa informasi password dan kartu kredit (pengguna premium) tetap aman. Apakah data nomor ponsel aman? SEA mengakui mendapatkan data sebesar 459 Gb dari database Truecaller.
5. BBC menuliskan laporan pada 25 November 2016 bahwa nomor ponsel tokoh politik dan anggota Parlemen Inggris, termasuk Perdana Menteri David Cameron bisa muncul di pencarian database Truecaller.
6.  Pada Mei 2019, Rajshekhar Rajaharia, periset independen, menemukan bahwa sekitar 300 juta data pengguna Truecaller "bocor". Data seperti nomor ponsel dan email ini dijual di dark web. Sekitar 140 juta data pengguna India dijual seharga Rp 31 juta, sementara data lengkap global dijual seharga hampir Rp 400 juta. Menurut Truecaller, yang terjadi bukan kebocoran data melainkan penyalahgunaan akun premium. Pengguna premium (seharga US$ 0.99 per bulan) memang mendapatkan akses lebih besar ke database.

Screenshot data pengguna Truecaller asal India dijual di dark web. Image: bankinfosecurity.asia

Sebagian pengguna Truecaller tentu merasa mendapatkan manfaat dengan mengetahui panggilan spammer atau telemarketer yang ingin dihindarinya. Di sisi lain, aplikasi ini terasa seperti pedang bermata dua. Untuk mendapatkan manfaatnya, data pribadi pengguna harus masuk database publik yang bisa diakses pihak ketiga. 

Mungkin Anda kemudian berubah pikiran dan ingin membuang Truecaller dan menghapus nomor ponsel Anda dari database Truecaller. Bisakah? Pengguna bisa menghapus nomor ponselnya dari database dengan fitur "Unlist" dan menghapus Truecaller dari ponselnya. Lalu 24 jam kemudian nomornya akan lenyap dari database. Akan terhapus selamanya? Tidak juga.

Jika ada pengguna baru Truecaller yang memiliki nomor Anda di ponselnya dan memberi izin aplikasi untuk mengakses data kontak ponselnya, nomor Anda akan kembali masuk database. Atau jika ada pengguna lama Truecaller yang memberi nama baru untuk nomor ponsel Anda, nomor ponsel Anda akan kembali masuk ke database. Jadi, nomor ponsel seseorang bisa masuk database Truecaller tanpa ia harus menginstall aplikasi.

Selain Truecaller banyak aplikasi lain yang bisa mengakses data kontak di ponsel Anda. Aplikasi ini mendapat data bukan dengan mencuri melalui malware, tapi melalui izin Anda.