Skandal Keamanan: Aplikasi Perekam Panggilan “Neon” Mendadak Offline Setelah Bocorkan Data Pengguna

Latar Belakang & Daya Tarik Neon

Neon meluncur dengan konsep kontroversial: pengguna bisa mendapatkan imbalan uang jika mereka merekam panggilan telepon dan membagikan rekaman tersebut kepada perusahaan AI. Konsep ini cepat menarik perhatian publik—dalam sekejap Neon mencapai peringkat lima aplikasi gratis teratas di App Store.

Menurut data dari Appfigures, Neon telah diunduh puluhan ribu kali dalam waktu singkat, dengan rekor unduhan sekitar 75.000 dalam satu hari ketika aplikasi ini mulai viral.

Namun, popularitas tersebut berubah cepat ketika kelemahan serius dalam sistem keamanan aplikasi ditemukan.

Bagaimana Data Pengguna Bocor

Dalam pengujian internal, reporter TechCrunch membuat akun baru dan memverifikasi nomor telepon. Setelah melakukan beberapa panggilan tes, ditemukan bahwa server Neon mengizinkan akses ke data pengguna lain—tanpa otorisasi yang memadai.

Analisis jaringan menggunakan alat seperti Burp Suite mengungkap bahwa server aplikasi:

• Memungkinkan pengguna yang masuk mengakses transkrip panggilan pengguna lain.

• Menyediakan URL publik ke file audio panggilan yang dapat didengar siapa pun yang memiliki tautan.

• Menampilkan metadata panggilan (nomor telepon pengguna, nomor lawan bicara, waktu panggilan, durasi) yang seharusnya rahasia.

Dalam satu uji kasus, TechCrunch berhasil melihat transkrip dari panggilan antara dua reporter mereka:

“Uh, it worked. Hooray. Okay. Thanks, mate.”

Semua ini menunjukkan bahwa server Neon tidak membatasi akses berdasarkan kepemilikan data, sehingga data pribadi pengguna nyata terekspos secara luas.

Respon dari Pihak Neon & Tindakan Penghentian

Begitu kelemahan itu diberitahu, pendiri Neon, Alex Kiam, merespons dengan mematikan server dan menghentikan operasional aplikasi sementara. Ia juga mengirimkan email kepada pengguna agar menonaktifkan aplikasi sementara waktu.

Dalam email tersebut, Neon menyebut:

“Your data privacy is our number one priority, … we are temporarily taking the app down to add extra layers of security.”

Menariknya, email itu tidak secara eksplisit menyebut kebocoran data atau jumlah pengguna yang terkena dampak. Juga belum jelas kapan Neon akan kembali beroperasi atau apakah mereka akan merilis versi perbaikan.

Hingga saat ini, Apple dan Google belum merespons secara resmi apakah Neon melanggar pedoman keamanan toko aplikasi mereka.

Implikasi Privasi & Bisnis di Balik Skandal

Kasus Neon memperlihatkan betapa rentannya aplikasi yang menukarkan data pengguna dengan uang atau insentif lainnya. Beberapa poin penting yang muncul:

1. Pertanggungjawaban keamanan minimal
   Ekspos data dari server Neon menunjukkan bahwa sistem kontrol akses datanya sangat lemah—data pengguna seharusnya hanya bisa diakses oleh pemiliknya, bukan oleh sembarang pengguna.

2. Risiko regulasi & etika
   Menjual rekaman suara, metadata panggilan, dan transkrip pengguna tanpa perlindungan memadai berpotensi melanggar regulasi perlindungan data di berbagai negara.

3. Kepercayaan pengguna terguncang
   Banyak orang yang menginstal Neon dengan harapan mendapatkan penghasilan tambahan atau ingin mencoba teknologi baru — tapi mereka cenderung tidak menyadari risiko keamanan yang tersembunyi.

4. Dampak terhadap toko aplikasi
   Apple dan Google harus memastikan aplikasi di platformnya mematuhi standar keamanan dan perlindungan data. Kasus seperti Neon bisa mendorong penyempurnaan proses review aplikasi.

5. Preseden bagi aplikasi sejenis
   Aplikasi lain yang menawarkan insentif berbasis data (misalnya aplikasi survei, aplikasi health tracking, aplikasi AI) bisa menjadi sorotan lebih karena model mereka bisa melirik data pengguna sebagai komoditas.

Faktor Teknis yang Memicu Kebocoran

Beberapa faktor teknis dalam kasus Neon:

• Akses server tanpa otorisasi — server backend tidak memvalidasi bahwa suatu permintaan data berasal dari pemilik data.

• URL publik ke file audio/transkrip — file audio dipublikasikan lewat tautan yang tidak terlindungi.

• Logika kontrol akses yang rusak — metode pembatasan akses berdasarkan pengguna tampaknya tidak diterapkan atau rusak.

• Skema bisnis berbasis data — model Neon bergantung pada penjualan data pengguna ke perusahaan AI, sehingga dorongan ekonomi bisa mengabaikan aspek keamanan.

Wawasan dari Analogi “Neon” & Keamanan Aplikasi

• Model aplikasi yang memonetisasi data pengguna perlu menjaga trust by design, yaitu keamanan dan privasi dibangun sejak awal pengembangan.

• Sistem validasi dan otorisasi harus ketat: hanya pemilik data yang dapat mengakses isinya.

• Audit eksternal dan penetration test (uji penetrasi) wajib untuk aplikasi yang menangani data sensitif.

• Transparansi kepada pengguna sangat penting: pemberitahuan kebocoran data, reaksi cepat, serta pengembalian kepercayaan harus dilakukan.