Sebuah laporan keamanan kembali mengingatkan bahwa label "anonim" pada layanan digital tidak selalu berarti aman. Aplikasi video chat acak FTF Live dilaporkan mengekspos hingga 3,47 juta catatan identitas pengguna dan 22 juta rekaman sesi akibat salah konfigurasi pada dasbor Kibana, menurut investigasi Cybernews yang dikutip TechRadar.
Skala Kebocoran: 3,47 Juta Identitas dan 22 Juta Sesi
Peneliti Cybernews menemukan bahwa dasbor Kibana milik FTF Live dibiarkan dalam status terbuka tanpa autentikasi. Melalui celah ini, pihak luar berpotensi mengakses hingga 3,47 juta catatan pengguna yang dapat diidentifikasi serta 22 juta rekaman sesi video chat.
Data yang diduga terekspos meliputi:
- Sekitar 3,47 juta catatan berisi nama pengguna, alamat email, atau pengenal serupa. TechRadar dalam judulnya menyebut sekitar 3 juta di antaranya memuat nama lengkap dan alamat email.
- Informasi perangkat, jenis kelamin, serta data pembayaran.
- Metadata geolokasi seperti alamat IP, negara, dan bahasa.
Kabar baiknya, rekaman video panggilan secara mentah dilaporkan tidak ikut bocor. Namun, kombinasi identitas, lokasi, dan riwayat pembayaran sudah cukup untuk melacak, mengidentifikasi, hingga memata-matai pengguna tertentu.
Bukan Hanya Kibana: Dozzle Juga Terbuka
Persoalan tidak berhenti di Kibana. Cybernews juga menemukan instance Dozzle, sebuah log viewer berbasis browser, yang sama-sama tidak dilindungi. Eksposur sekunder ini bahkan dinilai lebih berbahaya karena memungkinkan pihak luar melihat:
- Kata sandi dalam bentuk plain text.
- Token sesi aktif.
- Permintaan API internal sistem.
Peneliti Cybernews menegaskan bahwa kombinasi dua celah ini menciptakan risiko keamanan yang serius. Bagi platform yang menjajakan diri sebagai layanan "anonim", terbukanya log backend menjadi kontradiksi besar dalam desain dan operasionalnya.
Tiga Nama Perusahaan, Satu Aplikasi Tanpa Respons
Struktur kepemilikan FTF Live ternyata cukup berlapis. TechRadar menyebut Cybernews sudah berupaya menghubungi pihak operator, namun tidak mendapat tanggapan. Berikut peta entitas yang terlibat:
| Peran | Nama Entitas |
|---|---|
| Penerbit aplikasi Android (telah ditarik) | Burhan LTD |
| Operator menurut kebijakan privasi | Cooy Ads Ltd (berbasis di Siprus) |
| Pengelola data, dukungan pelanggan, dan branding | Pixover |
Tumpang tindih nama ini, ditambah ketidakjelasan kapan dasbor mulai terbuka dan absennya respons resmi, membuat tingkat keseriusan kasus semakin tinggi.
Mengapa Kebocoran "Anonim" Lebih Berbahaya
FTF Live menawarkan layanan video chat acak yang kerap dipakai untuk interaksi intim atau eksplisit dengan orang asing. Justru karena berlabel anonim, kebocoran identitas dan metadata perilaku pengguna berpotensi menimbulkan dampak serius, antara lain:
- Pengambilalihan akun (account takeover).
- Penipuan bertarget (targeted scam).
- Penguntitan oleh pihak dengan motif tertentu.
- Risiko sosial bagi komunitas LGBTQ+, pengguna percakapan sensitif, hingga anak di bawah umur.
Hal yang dianggap "sekali pakai dan tidak meninggalkan jejak" pada kenyataannya tetap tersimpan sebagai jejak data yang dapat dilacak.
Kronologi Pengungkapan dan Sorotan Regulasi
Menurut Cybernews, peneliti pertama kali mendeteksi keterbukaan dasbor pada 12 Desember 2025, dan baru melaporkan ke CERT terkait pada 1 Januari 2026. Aplikasi Android FTF Live sendiri telah dirilis di Google Play Store sejak 5 April 2025 dengan sekitar 5.000 unduhan, sebelum akhirnya ditarik sekitar 10 hari sebelum laporan ini terbit.
Data yang terekspos tersimpan di Elasticsearch, dengan tampilan Kibana yang sudah dipecah berdasarkan demografi, tipe perangkat, lokasi geografis, hingga status pembayaran. Tingkat pelacakan seperti ini berpotensi menarik perhatian regulator di bawah kerangka GDPR (Eropa) maupun CCPA (California).
Kasus serupa juga sempat menimpa situs konten dewasa Frivol.com pada Januari 2026, di mana sekitar 479.000 alamat email pengguna terekspos melalui Kibana yang juga dibiarkan terbuka. Elastic, perusahaan di balik Kibana, bahkan telah merilis beberapa pembaruan keamanan beruntun (ESA-2026-21, ESA-2026-34, ESA-2026-38) sepanjang tahun ini.
Implikasi bagi Pengguna di Indonesia
Meski FTF Live bukan layanan yang populer di Indonesia, kasus ini menjadi pengingat penting bagi pengguna aplikasi video chat acak — termasuk layanan sejenis yang beredar di Google Play Store dan dapat diakses dari Tanah Air. Beberapa langkah praktis yang bisa dilakukan:
- Jangan menggunakan email utama (apalagi email kantor) saat mendaftar ke aplikasi video chat anonim.
- Hindari menautkan metode pembayaran utama seperti kartu kredit atau e-wallet (GoPay, OVO, DANA) ke layanan semacam ini. Gunakan kartu virtual atau saldo terbatas jika memang diperlukan.
- Aktifkan otentikasi dua faktor (2FA) pada email yang pernah digunakan untuk mendaftar layanan serupa, dan ganti kata sandi secara berkala.
- Pantau notifikasi dari Have I Been Pwned atau layanan sejenis untuk mengetahui apakah email Anda muncul dalam pelanggaran data.
Hingga saat ini, pihak FTF Live (Burhan LTD/Cooy Ads Ltd/Pixover) belum mengeluarkan pernyataan resmi mengenai cakupan dampak maupun durasi eksposur. Pengguna disarankan menunggu klarifikasi resmi sekaligus mengambil langkah mitigasi mandiri sejak sekarang.
Sumber
- TechRadar — Anonymous video chat app leaks data on millions of users — more than 22 million records exposed, including 3 million containing names and email addresses
- Cybernews — Researchers uncover random video chat leak exposing millions of intimate user sessions
- Cybernews — Adult site Frivol.com data leak reveals users registered using work emails
