Cybersecurity

Saya menganggap diri saya orang yang cukup sadar privasi, berusaha keras untuk menghindari pelacakan online dan, sebagian besar, menghindari email spam. Tetapi ketika saya mendapati diri saya menatap alamat rumah saya di situs web perusahaan yang belum pernah saya dengar, saya tahu di suatu tempat saya salah.

Beberapa hari sebelum sewa kami jatuh tempo pada akhir April, pasangan saya menerima email dari pemilik gedung apartemen kami tentang cara baru kami dapat membayar sewa sambil mengumpulkan poin hadiah, seperti program loyalitas. Itu adalah tawaran yang bagus pada saat harga sewa mencapai rekor tertinggi, jadi dia mengklik dan memuat situs web perusahaan hadiah sewa Bilt Rewards dan dengan jelas menampilkan nama lengkapnya dan nomor apartemen kami.

Sudah ini cukup mengkhawatirkan. Gedung apartemen kami telah memberikan informasinya kepada Bilt dan kami sekarang melihatnya di situs webnya. Saya tidak pernah mendapatkan email yang diterima pasangan saya. Tapi saya penasaran, apakah Bilt punya informasi saya juga?

Setiap kali dia mengklik tautan di email, itu membuka halaman web Bilt pribadi yang sama yang menunjukkan nama dan nomor apartemennya karena halaman web itu mengambil informasinya langsung dari server Bilt melalui API. (API memungkinkan dua hal untuk berbicara satu sama lain melalui internet, dalam hal ini server Bilt menyimpan informasi kami dan situs webnya.) Anda dapat melihat ini menggunakan alat pengembang browser, tidak perlu trik mewah. Menggunakan alat browser, Anda juga dapat melihat bahwa situs web juga menarik nama gedung apartemen tempat kami tinggal, meskipun tidak ditampilkan di situs web Bilt.

Paling-paling ini adalah upaya kotor untuk mempersonalisasi halaman pendaftaran, dan paling buruk itu adalah pelanggaran alamat rumah kami. Tetapi juga memungkinkan untuk mengambil informasi yang sama langsung dari server Bilt hanya dengan menggunakan alamat emailnya — tidak diperlukan tautan email khusus — yang, seperti kebanyakan dari kita yang alamat emailnya bersifat publik, sayangnya tidak memerlukan banyak tebakan.

Saya memasukkan alamat email saya dan situs tersebut mengembalikan nama saya, nama gedung dan nomor apartemen, semuanya sama dengan informasi pasangan saya. Bagaimana mungkin sebuah startup yang belum pernah saya dengar sampai saat ini mendapatkan dan membocorkan alamat rumah saya?

Saya salah satu dari sekitar 50 juta penyewa di Amerika Serikat. Saya tinggal di luar New York City dengan pasangan saya dan dua kucing kami di sebuah gedung apartemen milik Equity Residential, salah satu tuan tanah perusahaan terbesar di AS dengan lebih dari 80.000 apartemen sewaan di bawah manajemennya. Bahkan kemudian, Ekuitas adalah salah satu dari sekitar 20 pemilik perusahaan termasuk Blackstone, AvalonBay dan Starwood yang mencakup lebih dari dua juta rumah, atau sekitar 4% dari semua perumahan sewa AS.

Masuki Bilt, salah satu dari banyak startup yang muncul berkat ledakan baru-baru ini di bidang teknologi properti, atau proptech, seperti yang dikenal luas. Bilt didirikan oleh pengusaha Ankur Jain pada Juni 2021 dan memungkinkan penyewa mendapatkan hadiah setiap kali mereka melakukan pembayaran sewa. Melalui kemitraan dengan sebagian besar pemilik perusahaan terbesar, Bilt sekarang menawarkan program hadiah sewa ke lebih dari dua juta rumah sewa di seluruh AS, termasuk rumah seperti milik saya yang dimiliki oleh Equity.

Saya mulai dengan menganggap ini sebagai cerita pelanggaran data lain yang pernah saya bahas di masa lalu dan ingin tahu siapa lagi yang terpengaruh.

Panggilan pertama saya adalah ke tetangga di gedung yang sama, yang ketika diberitahu tentang bagaimana situs web Bilt membocorkan alamat saya, setuju untuk memeriksa apakah dia juga terpengaruh. Saya mengeluarkan laptop saya dan kami memasukkan alamat emailnya ke API Bilt, yang segera mengembalikan namanya, nama gedung dan nomor apartemennya; wajahnya berubah dari gentar menjadi ngeri, seperti yang telah saya lakukan pada hari sebelumnya.

Panggilan kedua saya adalah ke Ken Munro, pendiri firma pengujian keamanan siber Inggris Pen Test Partners, nama yang mungkin Anda ketahui dari pertemuan sebelumnya dengan layanan online yang bocor, seperti sepeda Peloton, aplikasi ponsel cerdas, dan mainan seks sesekali. Tanpa sepengetahuan saya, salah satu rekannya di Amerika Serikat memiliki apartemen di gedung saya dan mengkonfirmasi kepada saya bahwa rincian alamat rumahnya juga diekspos oleh API.

Sekarang kami berada di empat orang yang informasinya diekspos oleh situs web Bilt yang bocor hanya dengan mengetahui alamat email mereka.

Saya menghubungi Bilt, yang tanggapannya tidak bagus.

“API yang Anda kirim di bawah ini berfungsi sebagaimana mestinya,” jawab Jain, sekarang CEO Bilt. (Jain menyatakan emailnya “tidak direkam”, yang mengharuskan kedua belah pihak menyetujui persyaratan sebelumnya. Saya memberi tahu Jain bahwa kami akan menerbitkan tanggapannya karena tidak ada kesempatan untuk menolak.)

“Satu-satunya pengecualian untuk ini adalah beberapa bangunan yang dioperasikan oleh Equity Residential, di mana mereka belum mengintegrasikan Bilt ke portal penduduk asli mereka,” kata Jain. “Tetapi mengingat jumlah bangunan yang sedikit, Equity membuat keputusan berisiko untuk mengirim undangan email dan halaman arahan menggunakan pendekatan yang lebih manual dalam jangka pendek. Untuk bangunan percontohan kecil ini, halaman arahan yang dihasilkan menggunakan API ini hanya memerlukan email,” katanya.

Jain mengatakan bahwa informasi dikembalikan oleh API “tersedia secara luas dan mudah melalui pencarian catatan publik mana pun,” dan bahwa “tidak ada informasi pribadi yang diungkapkan melalui API ini yang tidak tersedia di seluruh catatan publik ini.” (Jain dan saya harus setuju untuk tidak setuju karena sampai saat ini saya telah menyimpan alamat rumah saya sebagian besar dari internet — dan bagaimanapun juga, hanya karena informasi pribadi seseorang dipublikasikan di satu tempat bukanlah pembenaran untuk membuatnya publik di tempat lain.)

Ketika dihubungi untuk memberikan komentar, juru bicara Equity Marty McKenna mengatakan: “Kami menggunakan proses ini di sejumlah bangunan terbatas sementara kami menyelesaikan integrasi kami dengan Bilt. Kami tidak setuju bahwa ini adalah masalah keamanan,” kata McKenna.

McKenna berulang kali menolak untuk mengatakan berapa banyak bangunan Ekuitas yang memiliki penghuni yang informasinya terungkap. Tapi informasi saya sendiri yang bocor meninggalkan petunjuk yang menunjukkan jumlahnya bisa jadi setidaknya 21 bangunan Ekuitas, berjumlah ribuan penyewa. Saat ditanya soal jumlah bangunan, McKenna tak mempermasalahkan angka tersebut.

Bilt akhirnya memasang API bocornya pada 26 Mei, hampir sebulan setelah saya pertama kali melakukan kontak.

Tetapi masih belum jelas bagaimana Bilt mendapatkan informasi saya untuk memulai, tanpa menyebutkan pengumpulan data atau berbagi dalam perjanjian sewa yang saya tandatangani.

McKenna memecahkan misteri itu, memberi tahu saya: “Equity Residential berbagi informasi dengan penyedia layanan untuk memungkinkan layanan diberikan kepada penghuni kami. Kewenangan kami untuk melakukannya terletak pada Ketentuan Penggunaan dan Kebijakan Privasi kami yang tersedia di situs web kami.”

Jawaban singkatnya adalah ya, kebijakan privasi di situs web yang tidak terpikirkan oleh siapa pun — atau saya pikir — untuk dibaca. Dari saat Anda memasuki gedung Equity, kebijakan privasinya memungkinkan berbagai pengumpulan data, termasuk pengumpulan offline, seperti data yang dikumpulkan tentang Anda saat Anda menandatangani perjanjian untuk menyewa apartemen. Dan sebagian besar data tersebut dapat dibagikan dengan perusahaan pihak ketiga karena berbagai alasan, seperti menawarkan layanan atas nama Ekuitas. Perusahaan seperti Bilt, menurut kebijakan tersebut, “mungkin memiliki akses [ke informasi pengenal pribadi] untuk memberikan layanan ini kepada kami atau atas nama kami.”

Dan itu tidak unik untuk Ekuitas. Banyak pemilik perusahaan lain menggunakan bahasa yang sama dalam kebijakan privasi mereka yang memberi mereka kebebasan yang luas untuk mengumpulkan, menggunakan, dan membagikan atau menjual informasi pribadi Anda.

AvalonBay, yang memiliki 79.000 apartemen di seluruh pantai timur AS, menggunakan bahasa kata demi kata yang sama dalam kebijakan privasinya tentang memberikan informasi pribadi tentang penyewanya kepada pihak ketiga yang bekerja sama dengannya. Itu dapat mencakup layanan binatu, penyedia parkir mobil, atau — seperti Bilt — pemroses pembayaran sewa. Dan jumlah pihak ketiga yang memiliki akses ke informasi pribadi Anda dapat bertambah dengan cepat.

Erin McElroy, asisten profesor di Departemen Studi Amerika di University of Texas di Austin, yang penelitiannya mencakup proptech dan perumahan, mengatakan kepada TechCrunch bahwa perumahan diperlakukan lebih sebagai komoditas daripada hak atau barang sosial. Dengan penyewa yang semakin dibingkai sebagai konsumen, banyak dari apa yang mungkin dialami seseorang saat menggunakan produk atau layanan tertentu sekarang juga dialami sebagai penyewa. “Itu strategis dan bagian tak terpisahkan dengan korporatisasi dan finansialisasi perumahan, yang tentu saja penyewa tidak menganggap diri mereka sebagai konsumen dan membaca semua cetakan kecil dalam perjanjian sewa mereka, membayangkan hal seperti ini mungkin terjadi,” kata McElroy.

Beberapa kebijakan privasi melangkah lebih jauh. GID, yang memiliki lebih dari 86.000 unit hunian, memiliki kebijakan privasi yang secara eksplisit mengizinkannya untuk menjual sejumlah besar informasi pribadi penyewanya kepada afiliasinya, perusahaan manajemen lain, dan pialang data yang selanjutnya mengumpulkan, menggabungkan, dan menjual informasi Anda kepada orang lain.

“Sangat umum untuk memiliki kebijakan privasi yang mengatur penggunaan data,” Lisa Sotto, pengacara privasi dan mitra di Hunton Andrews Kurth, mengatakan kepada TechCrunch melalui panggilan telepon. Sotto mengatakan bahwa kebijakan privasi bukanlah kata-kata kosong: “Mereka diatur oleh Komisi Perdagangan Federal, dan FTC melarang praktik perdagangan yang tidak adil atau menipu.”

FTC dapat, dan terkadang memang, mengambil tindakan terhadap perusahaan yang menyalahgunakan data atau memiliki praktik keamanan data yang buruk, seperti perusahaan data hipotek yang mengekspos informasi pribadi yang sensitif, upaya untuk menutupi pelanggaran data, dan perusahaan teknologi karena melanggar janji privasi mereka. Seperti yang ditulis oleh pengacara di firma hukum Orrick: “Fakta bahwa Anda dapat menjual data penyewa Anda tidak berarti Anda harus menjual data itu.”

Tetapi tidak ada aturan yang secara khusus melindungi pembagian informasi pribadi penyewa.

Sebaliknya, terserah masing-masing negara bagian untuk membuat undang-undang. Hanya segelintir negara bagian AS – California, Connecticut, Colorado, Utah, dan Virginia – yang telah mengesahkan undang-undang privasi yang melindungi konsumen di negara bagian tersebut, kata Sotto. Dan hanya hukum California yang saat ini berlaku pada saat penulisan.

California menjadi negara bagian AS pertama untuk memberlakukan hak privasi individu — mirip dengan yang ditawarkan kepada semua orang Eropa di bawah GDPR. Undang-Undang Privasi Konsumen California, atau CCPA seperti yang diketahui, mulai berlaku pada Januari 2020 dan memberikan hak kepada warga California untuk mengakses, mengubah, dan menghapus data yang dikumpulkan oleh perusahaan dan organisasi. CCPA menjadi duri besar di pihak perusahaan yang haus data karena undang-undang memaksa mereka untuk mengukir pengecualian luas dalam kebijakan privasi mereka untuk memungkinkan orang California hak untuk memilih keluar dari penjualan data mereka ke pihak ketiga. Itu juga sering mengharuskan perusahaan untuk menawarkan kebijakan privasi yang sepenuhnya terpisah untuk penduduk California, seperti yang telah dilakukan GDPR bertahun-tahun sebelumnya.

CCPA, seperti GDPR, tidak sempurna untuk sedikitnya. Tetapi sebagai undang-undang privasi seluruh negara bagian AS yang pertama, undang-undang itu menetapkan standar bagi negara bagian lain untuk mengikuti dan, idealnya, meningkat seiring waktu.

Virginia adalah negara bagian berikutnya dengan undang-undang yang mulai berlaku pada Januari 2023. Tetapi para kritikus menyebut RUU itu “lemah,” di samping laporan bahwa teks RUU itu ditulis oleh pelobi Amazon dan Microsoft, yang bekerja untuk melayani kepentingan perusahaan mereka. Raksasa teknologi mendukung dan mendorong undang-undang privasi negara bagian yang sangat dilobi, seperti Virginia, dengan tujuan akhir mendorong undang-undang federal yang akan menciptakan aturan selimut yang lebih lemah di seluruh AS yang akan menggantikan tambal sulam undang-undang negara bagian — termasuk California, di mana aturannya adalah terkuat.

Tetapi sementara sebagian kecil orang Amerika dilindungi oleh beberapa undang-undang privasi, mayoritas tinggal di negara bagian yang memiliki sedikit atau tidak ada perlindungan terhadap pembagian informasi seseorang.

“Benar-benar ada kekurangan undang-undang,” kata McElroy. “Penyewa umumnya tidak diberi tahu apa pun tentang jenis data apa yang dikumpulkan tentang mereka. Mereka tidak memiliki kesempatan untuk menyetujui dan mereka tidak diberi indikasi potensi bahaya apa pun, ”kata mereka.

Apakah saya akan pindah ke apartemen ini dengan mengetahui bahwa pemilik perusahaan saya akan membagikan informasi pribadi saya dengan pihak ketiga yang tidak terlalu peduli untuk melindunginya? Mungkin tidak. Tetapi dengan harga sewa yang meroket dan penurunan ekonomi global yang membayangi, meskipun ada rekor keuntungan oleh beberapa pemilik perusahaan terbesar di Amerika, penyewa mungkin tidak punya banyak pilihan.

“Saat perumahan tersapu oleh perusahaan-perusahaan ini, ada krisis perumahan yang terjangkau di sebagian besar kota dan penyewa tidak bisa terlalu pilih-pilih dalam mencari tempat untuk disewa,” kata McElroy. “Seringkali penyewa terpaksa melupakan menemukan pemilik dengan kebijakan data yang tidak terlalu kasar hanya karena tidak ada pilihan.”

Jadi, bagaimana startup teknologi mendapatkan alamat rumah saya? Mudah dan legal. Sedangkan untuk membocorkannya? Itu hanya keamanan yang buruk.

Sumber: TechCrunch