Kalian pernah merasa “aman” curhat ke ChatGPT atau Claude karena mengira lawan bicaranya cuma algoritma tak bernyawa? Pikir lagi. Realitanya, percakapan intim kalian dengan AI—mulai dari diagnosis penyakit memalukan, strategi hukum, hingga kodingan rahasia kantor—sedang diperjualbelikan seperti kacang goreng oleh broker data.
Laporan investigasi keamanan terbaru pekan ini membongkar praktik mengerikan di mana ekstensi browser populer, yang seharusnya melindungi privasi, justru berbalik menjadi “cepu” digital. Bukan platform AI-nya yang bocor, tapi “pintu” yang kalian pakai untuk masuk ke sana yang sudah disusupi maling.
Masalah ini bukan sekadar kebocoran data biasa. Ini adalah pengkhianatan kepercayaan user yang berlindung di balik label “Privacy Tools”.
Modus Operandi: Gratis Tapi Mematikan
Biang kerok utama dari skandal ini adalah Urban VPN dan jejaring ekstensinya (termasuk 1ClickVPN dan Urban Browser Guard). Bagi pengguna internet di Indonesia, nama ini mungkin terdengar akrab. Kita sering tergoda menginstal VPN gratisan macam ini buat menembus blokir Reddit, Vimeo, atau sekadar nonton Netflix region luar.
Tapi harga yang harus dibayar jauh lebih mahal daripada biaya langganan bulanan.
Skala Kebocoran Data
Investigasi teknis dari Koi Security menemukan bahwa ekstensi ini tidak cuma mengalihkan trafik internet kalian. Di balik layar, mereka menyuntikkan skrip jahat yang secara spesifik menargetkan interaksi pengguna dengan chatbot AI besar seperti ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok, dan Meta AI.
Mekanisme “Man-in-the-Browser”
Ditinjau dari perspektif analisis malware, teknik yang dipakai ini terbilang cukup “rapi” namun licik. Alih-alih meretas server OpenAI atau Google, pelaku melakukan serangan langsung di browser pengguna (client-side).
Teknis Eksploitasi
Ekstensi ini melakukan monkey patching pada fungsi native browser seperti fetch() dan XMLHttpRequest(). Artinya, setiap kali kalian menekan tombol “Send” di ChatGPT, data tersebut dicegat (intercept) oleh skrip ekstensi sebelum dikirim ke server AI. Salinan percakapan, termasuk prompt dan responsnya, kemudian dikirim diam-diam ke server broker data.
Yang bikin geram, fitur harvesting ini baru disisipkan pada update versi 5.5.0 yang dirilis Juli 2025. Jadi, pengguna lama yang sudah menginstal ekstensi ini bertahun-tahun mungkin tidak sadar bahwa tool kesayangan mereka tiba-tiba berubah menjadi alat mata-mata setelah update otomatis berjalan di latar belakang.
Data Sensitif: Bukan Sekadar “Halo Robot”
Mungkin ada yang mikir, “Ah, paling cuma history gue nanya resep nasi goreng.”
Sayangnya tidak sesederhana itu. Transkrip yang dijual oleh broker data ini berisi informasi yang sangat, sangat personal. Para peneliti menemukan data medis yang mencakup hasil tes HIV, diagnosis kanker, hingga riwayat kesehatan mental.
Tidak berhenti di situ, ditemukan juga data hukum terkait status imigrasi, catatan kriminal, hingga dokumen strategi litigasi yang di-paste pengacara ke dalam chatbot untuk diringkas. Di sektor korporat, karyawan yang tidak waspada sering mem-paste source code internal atau data finansial perusahaan untuk dianalisis oleh AI.
Semua data ini disimpan secara verbatim (kata per kata). Meskipun broker data mengklaim telah melakukan “anonimisasi” dengan mengubah ID pengguna menjadi hash (SHA-256), isi percakapannya tetap telanjang.
Dalam keamanan siber, ini disebut re-identification risk. Jika dalam percakapan itu kalian menyebutkan nama, tanggal lahir, atau detail spesifik lainnya, hash ID itu tidak ada gunanya. Identitas kalian bisa langsung dilacak.
Kronologi Insiden
Update Beracun
Urban VPN v5.5.0 dirilis dengan fitur harvesting aktif secara default.
Investigasi FTC
FTC AS mulai menyelidiki praktik pengumpulan data oleh perusahaan AI dan pihak ketiga.
Laporan Koi Security
Publikasi temuan 8 juta user terdampak; Google & Microsoft mulai bersih-bersih store.
Eksposur Penjualan Data
Terungkap bahwa transkrip dijual bebas ke firma pemasaran dan asuransi.
Relevansi untuk Netizen Indonesia
Kenapa kita harus peduli? Indonesia adalah salah satu pasar pengguna VPN gratis terbesar di dunia, didorong oleh ketatnya pemblokiran konten internet. Pola pikir “yang penting gratis dan tembus blokir” adalah makanan empuk bagi perusahaan seperti BiScience (induk perusahaan Urban VPN).
Dalam konteks UU Perlindungan Data Pribadi (UU PDP) No. 27 Tahun 2022, praktik ini jelas ilegal jika dilakukan terhadap warga negara Indonesia tanpa persetujuan eksplisit yang jelas—bukan sekadar disembunyikan di Terms of Service yang panjangnya minta ampun.
Namun, penegakan hukum lintas negara itu rumit. Sampai pemerintah bisa benar-benar menindak entitas asing ini, benteng pertahanan pertama adalah diri kita sendiri.
Ilusi Keamanan “Featured Badge”
Salah satu aspek paling menipu dari kasus ini adalah fakta bahwa ekstensi berbahaya ini memajang badge “Featured” di toko aplikasi. Ini menciptakan rasa aman semu. Pengguna mengira Google atau Microsoft telah memverifikasi keamanan kodingannya baris demi baris.
Padahal, proses review di store seringkali otomatis dan tidak mampu mendeteksi perubahan perilaku yang disisipkan lewat update dinamis atau skrip yang di-obfuscate.
Mitigasi: Jangan Jadi Produk
Sudah saatnya kita berhenti naif. Dalam ekosistem digital, jika layanannya gratis, maka kamulah produknya. Tapi dalam kasus VPN nakal ini, kamu bukan cuma produk, tapi korban eksploitasi.
Berikut langkah mitigasi taktis yang bisa kalian lakukan sekarang:
- Audit Ekstensi Browser: Cek semua ekstensi yang terpasang. Hapus VPN gratisan, ad-blocker mencurigakan, atau ekstensi “privacy” yang tidak jelas vendornya.
- Gunakan VPN Berbayar: Jika memang butuh VPN, investasikan uang untuk layanan yang punya reputasi audit no-logs yang terverifikasi pihak ketiga (seperti Mullvad atau Proton). Privasi itu investasi, bukan pengeluaran.
- Sanitasi Data: Jangan pernah memasukkan PII (Personally Identifiable Information) ke dalam chatbot. Anggaplah setiap chat kalian dibaca oleh orang asing.
- Isolasi Browser: Untuk pekerjaan sensitif, gunakan profil browser terpisah tanpa ekstensi apapun, atau gunakan mode Incognito (meski ini tidak menjamin 100% jika ekstensinya diizinkan jalan di mode privat).
Kejadian ini adalah tamparan keras bagi industri keamanan siber dan AI. Kita terlalu fokus pada apakah “AI akan mengambil alih dunia”, sampai lupa bahwa ancaman terdekat justru datang dari tools remeh-temeh yang kita instal sembarangan.
Lindungi data kalian agar tidak menjadi komoditas pihak-pihak yang tidak bertanggung jawab. Tetap waspada dalam menjelajahi rimba digital yang makin kompleks ini.