Cyberthreat.id - Ini ibarat pagar makan tanaman. Aplikasi antivirus yang kita harapkan melindungi data kita, ternyata malah menjual jejak online kita termasuk apa yang kita klik, riwayat pembelian di toko online, riwayat tontonan, juga riwayat pencarian. Semuanya!

Investigasi bersama oleh Motherboard dan PCMag mengungkapkan bagaimana Avast, pemilik AVG antivirus, melacak informasi terperinci tentang apa yang dilakukan banyak penggunanya secara online, tanpa sepengetahuan orang yang dilacak. Data yang dipanen lalu dijual ke perusahaan produsen dan industri periklanan.

Avast mengklaim memiliki lebih dari 435 juta pengguna aktif per bulan, dan Jumshot mengatakan memiliki data dari 100 juta perangkat.

Data yang dikumpulkan dari aktivitas pengguna itu dikirim ke Jumpshot yang merupakan anak perusahaan Avast, lalu dikemas ulang dan menawarkannya kepada klien dalam bentuk paket yang disebut "All Click Feed." Data itu dipasarkan dengan tagline,"The Power of 100 Million Shoppers."

"Ini dia, data yang sangat terperinci dari 100 juta pembeli online global dan 20 juta pengguna aplikasi global. Analisis sesuai keinginan anda. Lacak apa yang dicari pengguna, bagaimana mereka berinteraksi dengan merek atau produk tertentu, dan apa yang mereka beli. Lihat ke dalam katagori, negara, atau domain apa pun," demikian bunyi penawaran data dari Jumpshot.

Jumpshot juga pernah mempublikasikan penawaran itu secara terbuka di Twitter (seperti pada gambar di atas).

Sebuah dokumen internal yang diperoleh Motherboard dan PCMag menyebut dua lusin nama klien, termasuk perusahaan besar Home Depot, Google, Microsoft, Pepsi, Unilever, Nestle, Yelp, Revlon, Omnicom Media Group dan McKinsey.

Microsoft mengatakan tidak memiliki hubungan saat ini dengan perusahaan. Yelp mengatakan Jumpshot "dilibatkan hanya sekali," dan Google tidak menanggapi permintaan komentar dari Motherboard dan PGMag.

Berapa data itu dijual? Salah satu perusahaan yang membeli data 'All Clicks Feed' dari Jumpshot adalah Omnicom Media Group, perusahaan marketing yang berbasis di New York. Dalam sebuah kopian dokumen kontrak disebutkan, Omnicom membayar seharga US$ 6,56 juta atau setara Rp89,5 miliar untuk akses tiga tahun.  Untuk 2019 saja, harganya US$2.075.000. Ada pun untuk 2020 dan 2021 masing-masing harganya US$2.225.000 dan US$2.275.000.  Itu termasuk produk lain yang disebut "Insight Feed" untuk 20 domain berbeda.  

Dengan membayar sejumlah itu, Omnicom mendapat akses data apa saja yang diklik pengguna internet dari 14 negara termasuk Amerika Serikat, Inggris, Kanada, Australia, dan Selandia Baru. Data yang didapat mencakup jenis kelamin pengguna yang disimpulkan berdasarkan 'perilaku penelusuran', usia, dan seluruh URL yang diakses, tetapi dengan informasi pribadi yang dihapus, begitu tertulis dikontrak.

Omnicom tidak menanggapi permintaan komentar.

Menurut kontrak Omnicom, "ID perangkat" setiap pengguna disembunyikan, yang berarti perusahaan pembeli data tidak dapat mengidentifikasi siapa sebenarnya yang berada di balik setiap aktivitas browsing. Sebagai gantinya, produk-produk Jumpshot memberikan wawasan kepada perusahaan yang mungkin ingin melihat produk apa yang sangat populer, atau seberapa efektif kampanye iklan yang dijalankan.

Namun, benarkah data itu benar-benar tidak bisa dilacak? Belum tentu. Bisa jadi Avast atau Jumpshot memang tidak mencantumkan nama atau email seseorang. Namun riwayat pengguna dikenali dengan ID perangkat, yang akan bertahan kecuali si pengguna menghapus antivirus produk Avast dari perangkatnya.

Di bawah ini adalah contoh data yang ditampilkan.

Device ID (ID Perangkat): abc123x | Date (tanggal): 2019/12/01 | Hour Minute Second (Jam Menit Detik): 12:03:05 |  Domain: Amazon.com |  Produk: Apple iPad Pro 10.5-2017 | Model - 256GB, Rose Gold |  Behavior (tindakan): Add to Cart

Sekilas, itu tidak berbahaya dan identitas penggunanya tak terdeteksi. Kecuali anda adalah Amazon.com, yang segera dapat mengenali bahwa seseorang membeli iPad Pro pada jam 12:03:05 pada 1 Desember 2019. Walhasil, ID perangkat 123abcx dapat segera terlacak berdasarkan aktivitas tersebut.  

Pakar yang diwawancarai PcMag dan Motherboard sepakat bahwa adanya detail keterangan waktu dan nomor ID perangkat, bersama dengan kumpulan tautan URL yang disajikan, dapat dianalisis untuk mengungkap identitas pengguna.

Peneliti data pribadi yang mempelajari pelacakan secara online, Gunes Acar mengatakan, dari data Jumpshot, perusahaan dapat menggabungkannya dengan data lain, lalu melacak jejak digital seseorang.

"Mungkin data (Jumpshot) itu tidak langsung mengidentifikasi identitas seseorang. Mungkin cuma daftar ID perangkat dan beberapa tautan URL. Tapi itu selalu dapat digabungkan dengan data lain dari perusahaan lain, yang pada dasarnya dapat ditelusuri ke identitas aslinya," kata Gunes Acar.

Wah, ngeri gak sih?[]

Update:
Skandal Penjualan Data Terungkap, Avast Hentikan Jumpshot