Cellebrite Gagal Hentikan Penyalahgunaan Alat Hack di Rusia

Citizen Lab temukan bukti Cellebrite UFED digunakan Rusia untuk hack iPhone aktivis oposisi Andrey Pivovarov pada Juni 2021
Cellebrite klaim sudah putus hubungan dengan Rusia pada Maret 2021, tapi alatnya tetap berfungsi
Kasus ini ungkap celah serius dalam pengendalian teknologi pengawasan setelah sampai ke tangan pelanggan
Pivovarov dipenjara 4 tahun sebelum dibebaskan dalam pertukaran tahanan Agustus 2024
Peneliti desak Cellebrite terapkan tanda tangan kriptografi dan kemampuan nonaktifkan jarak jauh

Telset.id – Perusahaan keamanan siber Israel, Cellebrite, gagal menghentikan penyalahgunaan teknologi peretasan buatannya di Rusia meski telah memutus hubungan dengan pemerintah Vladimir Putin. Temuan ini mengungkap celah serius dalam pengendalian alat pengintai modern.

Laporan terbaru dari Citizen Lab, kelompok riset digital berbasis di University of Toronto, mengungkap bukti bahwa unit investigasi pemerintah Rusia menggunakan alat peretasan buatan Cellebrite untuk membobol iPhone milik aktivis hak asasi manusia dan politisi oposisi, Andrey Pivovarov, pada Juni 2021. Kejadian ini terjadi hanya tiga bulan setelah Cellebrite mengumumkan penghentian penjualan teknologinya ke pelanggan pemerintah Rusia.

Pada Maret 2021, Cellebrite secara resmi menyatakan akan “segera” menghentikan penjualan teknologi ke pelanggan Rusia. Di situs resminya, perusahaan mengklaim dapat “menghentikan fungsi perangkat atau menerima pembaruan perangkat lunak” setelah memutus hubungan dengan pemerintah Putin. Namun, kasus Pivovarov membuktikan klaim tersebut tidak berjalan sesuai rencana.

“Tidak mengherankan, dan ini adalah hasil dari kebijakan Cellebrite,” ujar Eitay Mack, pengacara HAM Israel yang lama mengkampanyekan bahaya teknologi pengawasan. Mack menegaskan bahwa penghentian penjualan dan bahkan pencabutan lisensi perangkat lunak tidak menghentikan mantan pelanggan Cellebrite untuk menyalahgunakan teknologi tersebut.

Para peneliti Citizen Lab menemukan bukti forensik di ponsel Pivovarov yang menunjukkan perangkat tersebut diretas menggunakan Cellebrite UFED. Otoritas Rusia menyita iPhone 12 dan MacBook milik Pivovarov pada Mei 2021 setelah menahannya. Dokumen pengadilan yang diterima Pivovarov mengonfirmasi penggunaan Cellebrite UFED untuk mengekstrak data termasuk pesan WhatsApp dan Telegram.

John Scott-Railton, peneliti senior Citizen Lab, menyarankan Cellebrite untuk “menonaktifkan perangkat jarak jauh setelah laporan penyalahgunaan yang kredibel, dan mengakhiri era penyangkalan yang masuk akal dengan menerapkan tanda tangan kriptografi pada semua perangkat yang diimajinasikan.” Artinya, Cellebrite seharusnya mampu “membrick” alatnya dari jarak jauh ketika disalahgunakan.

Baca Juga:

Cellebrite menjual perangkat keras yang dirancang untuk membuka kunci dan meretas ponsel yang terhubung dengannya. Selama bertahun-tahun, para peneliti mendokumentasikan kasus di mana pelanggan perusahaan menggunakan teknologinya melawan pembangkang, aktivis HAM, dan jurnalis di Hong Kong, Kenya, dan Yordania. Sebagai respons, Cellebrite telah memutus hubungan dengan Bangladesh, China dan Hong Kong, Myanmar, serta Serbia.

Dalam email ke Citizen Lab, kepala pemasaran Cellebrite David Gee menyatakan bahwa perusahaan “menghentikan semua penjualan dan layanan ke Federasi Rusia pada Maret 2021, mengakhiri lisensi yang ada, dan segera mulai membatalkan semua kontrak hukum. Penggunaan perangkat keras Cellebrite lama di Rusia setelah Maret 2021 sepenuhnya tidak sah.”

Namun, pernyataan ini tidak menjawab pertanyaan kritis: mengapa alat Cellebrite masih bisa digunakan di Rusia? Kasus Pivovarov menunjukkan bahwa alat UFED tetap berfungsi meskipun perusahaan mengklaim telah memutus dukungan. Pivovarov sendiri adalah direktur kelompok oposisi Open Russia yang kini telah bubar. Ia kemudian dijatuhi hukuman empat tahun penjara, sebelum dibebaskan pada Agustus 2024 sebagai bagian dari pertukaran tahanan antara Rusia dan negara-negara Barat.

Fakta Menarik tentang kasus ini adalah bahwa alat peretasan Cellebrite digunakan untuk mencari istilah politik serta nama-nama tokoh oposisi di ponsel Pivovarov. Ini termasuk target dari apa yang oleh peneliti gambarkan sebagai dugaan kampanye peretasan oleh pemerintah Rusia.

Eitay Mack menambahkan bahwa kasus ini menunjukkan mantan pelanggan masih bisa menyalahgunakan alat pembuka kunci ponsel Cellebrite yang dijuluki UFED, bahkan setelah perusahaan berhenti mendukung pelanggan dan mencabut lisensi perangkat lunaknya. Secara teori, langkah itu seharusnya membuat perangkat perusahaan menjadi kurang berguna.

Celah Keamanan dalam pengawasan ini memperkuat kekhawatiran bahwa teknologi pengawasan yang kuat dan alat peretasan yang sudah tersebar luas sulit untuk ditarik kembali. Begitu teknologi mencapai pelanggan yang salah, penyalahgunaan bisa terus terjadi bahkan setelah perusahaan pembuatnya melepaskan tanggung jawab.

John Scott-Railton menekankan perlunya Cellebrite menerapkan tanda tangan kriptografi pada semua perangkat yang diimajinasikan. Dengan demikian, data yang diekstrak menggunakan teknologi Cellebrite dapat dilacak kembali ke perangkat spesifik mana yang digunakan. Ini akan membantu mengidentifikasi dan menghentikan penyalahgunaan.

Kasus Pivovarov menjadi peringatan bagi perusahaan teknologi yang menjual ke pemerintah. Cellebrite, perusahaan Israel dengan kantor pusat kedua di Virginia yang menjual ke pemerintah di seluruh dunia termasuk AS, telah mengumumkan akan berhenti menyediakan perangkat keras dan perangkat lunak ke Rusia. Namun, kenyataannya perusahaan tidak mampu atau tidak bisa menindaklanjuti janji tersebut.

Pelajaran penting dari kasus ini adalah bahwa penghentian penjualan dan pencabutan lisensi saja tidak cukup. Tanpa mekanisme kontrol yang kuat seperti kemampuan menonaktifkan perangkat dari jarak jauh, alat peretasan akan terus disalahgunakan oleh pihak yang tidak bertanggung jawab.