Dapatkah saya mempercayai data saya untuk memperbaiki teknisi?

Mungkin setiap orang pernah merusak ponsel cerdas, tablet, atau laptop mereka dan membutuhkannya diperbaiki setidaknya sekali dalam hidup mereka. Penyebab kerusakan mungkin karena kecerobohan penggunanya sendiri: mengganti layar smartphone yang rusak membawa miliaran dolar yang tak terhitung jumlahnya ke industri. Tetapi lebih sering, itu hanya kerusakan acak seperti baterai rusak, hard drive mati, atau kunci lepas dari keyboard. Dan ini bisa terjadi kapan saja.

Sayangnya, perangkat modern dibuat sedemikian rupa sehingga ahli komputer yang paling ahli pun sering kali tidak dapat memperbaikinya sendiri. Kemampuan perbaikan smartphone terus menurun dari tahun ke tahun. Untuk memperbaiki model terbaru, dibutuhkan tidak hanya keterampilan dan pemahaman umum tentang cara kerja semua jenis perangkat digital; Anda juga sekarang membutuhkan alat khusus, keahlian, dan akses ke dokumentasi plus suku cadang unik.

Oleh karena itu, ketika smartphone atau laptop rusak, pengguna biasanya tidak punya banyak pilihan selain mencari service center. Lagi pula, hanya membuang perangkat Anda yang rusak, membeli yang lain dan memulai kembali biasanya bukanlah suatu pilihan karena Anda mungkin ingin memulihkan semua data yang ada di dalamnya. Jadi, ini ke pusat layanan yang Anda tuju. Tapi ada masalah: Anda harus menyerahkan perangkat Anda ke tangan orang asing. Foto dan video, korespondensi dan riwayat panggilan, dokumen dan informasi keuangan semuanya dapat diakses langsung oleh seseorang yang tidak Anda kenal. Bisakah orang ini dipercaya?

Penayangan porno buatan sendiri di bengkel adalah suatu hal

Saya pribadi memikirkan hal ini dengan serius baru-baru ini setelah apa yang dikatakan teman saya kepada saya. Dia mengobrol informal dengan beberapa orang yang bekerja di sebuah bengkel kecil. Mereka memberi tahu dia tanpa ragu bagaimana mereka kadang-kadang mengadakan tontonan porno buatan sendiri yang ditemukan di perangkat yang mereka perbaiki untuk karyawan dan teman mereka!

Insiden serupa muncul di berita dari waktu ke waktu. Karyawan yang mencuri foto pribadi pelanggan ditemukan di lebih dari satu pusat layanan. Dan terkadang cerita yang lebih besar muncul: dalam satu kasus, karyawan pusat layanan tidak hanya mencuri foto pelanggan wanita selama bertahun-tahun, tetapi juga mengumpulkan seluruh koleksinya dan membagikannya.

Tapi, tentunya insiden seperti itu merupakan pengecualian dari praktik umum? Tidak setiap pusat layanan memiliki staf yang ingin mendapatkan data pribadi pelanggan, bukan? Sayangnya, hasil penelitian yang baru-baru ini saya temui menunjukkan bahwa pelanggaran privasi pelanggan oleh teknisi pemeliharaan adalah masalah yang jauh lebih umum daripada yang kita pikirkan. Nyatanya, sangat mungkin rasa ingin tahu yang berlebihan di pihak staf perbaikan adalah fitur industri ini daripada insiden keterlaluan yang terisolasi. Tapi jangan terlalu terburu-buru. Saya akan membawa Anda melalui semuanya langkah demi langkah.

Bagaimana layanan perbaikan elektronik memperlakukan data pelanggan mereka

Sebuah studi dilakukan oleh para peneliti di University of Guelph di Kanada. Ini terdiri dari empat bagian, dua di antaranya dikhususkan untuk analisis percakapan dengan pelanggan layanan perbaikan, dan dua adalah studi lapangan di bengkel itu sendiri (yang akan saya fokuskan di sini). Di bagian “lapangan” pertama, para peneliti mencoba mencari tahu bagaimana bengkel memperlakukan privasi sesuai dengan niat mereka. Pertama dan terpenting, para peneliti tertarik pada kebijakan atau prosedur privasi apa yang dimiliki toko layanan untuk melindungi data pelanggan.

Untuk melakukan ini, para peneliti mengunjungi hampir 20 bengkel dari berbagai jenis (mulai dari bengkel lokal kecil hingga penyedia layanan regional dan nasional). Alasan setiap kunjungan adalah untuk mengganti baterai di laptop ASUS UX330U. Alasan di balik pemilihan kerusakan itu sederhana: mendiagnosis masalah dan menyelesaikannya tidak memerlukan akses ke sistem operasi, dan semua alat yang diperlukan untuk ini ada di UEFI laptop (para peneliti menggunakan istilah lama BIOS).

Kunjungan peneliti ke pusat layanan melibatkan beberapa langkah. Pertama, mereka mencari informasi apa pun yang tersedia bagi pelanggan terkait kebijakan privasi data pusat layanan. Kedua, mereka memeriksa untuk melihat apakah karyawan yang mengambil perangkat akan meminta nama pengguna dan kata sandi untuk masuk ke sistem operasi dan, jika demikian, bagaimana mereka membenarkan perlunya menyerahkan informasi itu (tidak ada alasan yang jelas untuk ini karena, seperti yang dinyatakan, penggantian baterai tidak memerlukan akses ke sistem operasi). Ketiga, para peneliti mencatat bagaimana kata sandi untuk perangkat yang diserahkan untuk diperbaiki disimpan. Terakhir, keempat, mereka mengajukan pertanyaan langsung dan tidak ambigu kepada karyawan yang menerima peralatan: “Bagaimana Anda memastikan tidak ada yang akan mengakses data pribadi saya?” untuk mengetahui kebijakan dan protokol privasi apa yang ada.

Hasil dari bagian penelitian ini mengecewakan.

• Tidak ada toko layanan yang dikunjungi oleh peneliti yang memberi tahu “pelanggan” tentang kebijakan privasi masing-masing sebelum menerima perangkat.
• Kecuali untuk satu pusat regional, semua layanan meminta kata sandi masuk – dengan alasan sederhana diperlukan baik untuk diagnostik atau perbaikan, atau untuk memeriksa kualitas layanan yang diberikan (yang, sebagaimana disebutkan di atas, tidak demikian).
• Saat ditanya apakah mungkin melakukan penggantian baterai tanpa kata sandi, ketiga provider nasional menjawab “tidak”. Di lima layanan yang lebih kecil, mereka mengatakan bahwa tanpa kata sandi, mereka tidak akan dapat memeriksa kualitas pekerjaan yang dilakukan dan karena itu menolak untuk bertanggung jawab atas hasil perbaikan. Toko lain menyarankan untuk menghapus kata sandi sama sekali jika pelanggan tidak ingin membagikannya! Dan terakhir, toko terakhir yang dikunjungi mengatakan bahwa jika mereka tidak diberi kata sandi, perangkat dapat diatur ulang ke pengaturan pabrik jika teknisi pemeliharaan perlu melakukannya.
• Adapun penyimpanan kredensial, dalam hampir semua kasus disimpan dalam database elektronik bersama dengan nama pelanggan, nomor telepon dan alamat email, tetapi tidak ada penjelasan siapa yang dapat mengakses database ini.
• Dalam sekitar separuh kasus, kredensial juga secara fisik dilampirkan ke laptop yang diserahkan untuk diperbaiki. Itu dicetak dan ditempel sebagai stiker (untuk layanan yang lebih besar), atau hanya tulisan tangan pada catatan tempel – itu klasik! Dengan demikian, akan terlihat bahwa setiap karyawan toko layanan (bahkan mungkin juga pengunjung biasa) dapat memiliki akses ke kata sandi.
• Ketika ditanya bagaimana privasi data dijamin, karyawan yang menerima perangkat dan staf perbaikan lainnya memberikan jaminan bahwa hanya teknisi yang memperbaiki perangkat yang dapat mengaksesnya. Namun, penyelidikan lebih lanjut menunjukkan bahwa tidak ada mekanisme yang dapat menjamin hal ini; hanya kata-kata mereka yang bisa didapat tentang ini.

Jadi, apa yang dilakukan teknisi pemeliharaan dengan data pribadi pelanggan?

Setelah mengetahui bahwa pusat layanan tidak memiliki mekanisme untuk mengekang rasa ingin tahu spesialis mereka, di bagian penelitian selanjutnya, para peneliti mulai memeriksa apa yang sebenarnya terjadi pada perangkat setelah diserahkan untuk diperbaiki. Untuk melakukan ini, mereka membeli enam laptop baru dan mensimulasikan masalah dasar dengan driver audio di dalamnya. Mereka hanya mematikannya. Oleh karena itu, “perbaikan” hanya membutuhkan diagnostik yang dangkal dan memperbaiki masalah dengan cepat dengan menyalakannya. Kerusakan khusus ini dipilih karena, tidak seperti layanan lain (seperti menghapus virus dari sistem), “memperbaiki” driver audio tidak memerlukan akses apa pun ke file pengguna.

Para peneliti membuat identitas pengguna fiktif pada laptop (pengguna pria di paruh pertama percobaan dan pengguna wanita di paruh kedua). Mereka membuat riwayat browser, email, dan akun game, serta menambahkan berbagai file – termasuk foto para peneliti. Juga ditambahkan “umpan” pertama: file dengan kredensial ke dompet cryptocurrency. Umpan kedua adalah folder terpisah yang berisi gambar yang agak eksplisit. Para peneliti menggunakan gambar berkode wanita asli dari pengguna Reddit untuk percobaan (setelah mendapatkan persetujuan sebelumnya, tentu saja).

Terakhir, dan yang terpenting, sebelum laptop diserahkan ke layanan, para peneliti mengaktifkan utilitas Windows Problem Steps Recorder, yang merekam setiap tindakan yang dilakukan pada perangkat. Setelah itu, laptop tersebut diteruskan “untuk diperbaiki” ke 16 service center. Sekali lagi, untuk mendapatkan gambaran lengkap, para peneliti mengunjungi layanan lokal kecil dan pusat penyedia regional atau nasional utama. Jenis kelamin “pelanggan” didistribusikan secara merata: dalam delapan kasus, perangkat dikonfigurasikan dengan persona wanita fiksi, dan dalam delapan kasus lainnya – dengan persona pria.

Inilah yang ditemukan para peneliti:

• Terlepas dari kesederhanaannya, masalah dengan driver audio diselesaikan di hadapan “pelanggan” setelah menunggu sebentar hanya dalam dua kasus. Dalam semua eksperimen lainnya, laptop harus dibiarkan setidaknya hingga keesokan harinya. Dan pusat layanan penyedia layanan nasional menyimpannya untuk “diperbaiki” setidaknya selama dua hari.
• Untuk dua layanan lokal, tidak mungkin mengumpulkan catatan tindakan staf perbaikan. Dalam satu kasus, alasan yang masuk akal untuk ini tidak dapat ditemukan. Di sisi lain, para peneliti diberi tahu bahwa teknisi pemeliharaan harus menjalankan perangkat lunak antivirus pada perangkat dan membersihkan disknya karena banyak virus (para peneliti sangat yakin bahwa pada saat drop-off, laptop tidak mungkin terinfeksi) .

Dalam kasus lain, para peneliti dapat menjelajahi log; inilah temuan mereka:

• Di antara log yang tersisa, para peneliti menemukan enam kasus di mana tukang reparasi memperoleh akses ke file pribadi atau riwayat browser. Dalam empat kasus, hal ini dicatat pada laptop “perempuan”; dua lainnya – pada yang “laki-laki”.
• Dalam separuh insiden, karyawan pusat layanan yang penasaran mencoba menyembunyikan jejak tindakan mereka dengan menghapus daftar file Windows yang terakhir dibuka.
• Staf perbaikan sangat tertarik dengan folder gambar. Konten mereka (termasuk foto eksplisit) dilihat dalam lima kasus. Empat dari laptop dalam kasus ini “milik” perempuan, yang lainnya milik laki-laki.
• Riwayat browser menjadi topik yang menarik untuk dua laptop – keduanya “milik” laki-laki.
• Data keuangan dilihat sekali – di perangkat “laki-laki”.
• Dalam dua kasus, file pengguna disalin oleh teknisi pemeliharaan ke perangkat eksternal. Kedua kali, itu adalah foto eksplisit, dan dalam satu kasus, data keuangan yang disebutkan di atas ditambahkan.

Sekitar setengah dari semua kasus, karyawan pusat layanan memperoleh akses ke file pengguna. Mereka hampir selalu tertarik pada gambar – termasuk foto eksplisit

Bagaimana melindungi diri Anda dari teknisi pemeliharaan yang usil

Tentu saja, perlu diingat bahwa ini adalah penelitian di Kanada. Tidak tepat untuk memproyeksikan hasilnya ke semua negara. Namun demikian, saya ragu bahwa situasi secara umum di seluruh dunia jauh lebih baik. Sepertinya pusat layanan di sebagian besar negara, seperti halnya di Kanada, tidak memiliki mekanisme yang meyakinkan untuk mencegah karyawan mereka melanggar privasi pelanggan. Dan kemungkinan juga karyawan tersebut memanfaatkan kurangnya batasan yang ditetapkan oleh majikan mereka untuk mengorek data pribadi pelanggan – terutama data wanita.

Jadi, sebelum Anda membawa perangkat Anda ke pusat layanan, ada baiknya melakukan sedikit persiapan:

• Pastikan untuk membuat cadangan lengkap semua data yang ada di perangkat ke perangkat penyimpanan eksternal atau ke cloud (jika memungkinkan, tentu saja). Merupakan praktik standar bagi pusat layanan untuk tidak memberikan jaminan atas keamanan data pelanggan, sehingga Anda mungkin akan kehilangan file berharga selama perbaikan.
• Idealnya, perangkat Anda harus dibersihkan sepenuhnya dari semua data dan diatur ulang ke pengaturan pabrik sebelum membawanya untuk diperbaiki. Misalnya, inilah yang direkomendasikan Apple untuk dilakukan.
• Jika membersihkan dan menyiapkan perangkat untuk diservis tidak memungkinkan (misalnya, tampilan ponsel cerdas Anda rusak), maka cobalah mencari layanan yang akan melakukan semuanya dengan cepat dan langsung di depan Anda. Pusat yang lebih kecil biasanya lebih fleksibel dalam hal ini.
• Sedangkan untuk laptop, mungkin cukup untuk menyembunyikan semua informasi rahasia dalam wadah crypto (misalnya, menggunakan solusi keamanan), atau setidaknya dalam arsip yang dilindungi kata sandi.
• Pemilik smartphone Android harus menggunakan fitur penguncian aplikasi di Kaspersky Premium untuk Android. Ini memungkinkan untuk mengunci semua aplikasi Anda menggunakan kode pin terpisah yang sama sekali tidak terkait dengan yang digunakan untuk membuka kunci ponsel cerdas Anda.