Setelah muncul secara tiba-tiba, sebuah aplikasi viral baru yang membayar pengguna untuk merekam panggilan telepon mereka guna melatih AI telah ditarik dari daring setelah sebuah celah keamanan diduga mengekspos data pengguna.
Pendiri Neon, Alex Kiam, mengatakan kepada Gizmodo melalui email bahwa server aplikasi tersebut sedang dimatikan sementara timnya memperbaiki kerentanan dan melakukan audit keamanan untuk memastikan masalah ini tidak terulang kembali.
Neon baru diluncurkan pekan lalu dan langsung melesat ke posisi kedua bagan aplikasi gratis teratas iPhone sebelum akhirnya ditutup pada hari Kamis.
Aplikasi ini membayar pengguna yang setuju untuk merekam panggilan mereka dan memungkinkan Neon menjual rekaman serta data lainnya kepada perusahaan-perusahaan AI untuk melatih model dan asisten virtual mereka. Ini dipromosikan sebagai cara bagi orang-orang untuk mendapat penghasilan dari data mereka, yang selama ini telah menguntungkan perusahaan teknologi.
“Perusahaan mengumpulkan dan menjual data Anda setiap hari. Kami pikir Anda berhak mendapat bagian,” demikian bunyi situs web perusahaan tersebut.
Situasi berubah pada hari Kamis setelah TechCrunch menemukan dan melaporkan sebuah kelemahan besar yang memungkinkan hampir siapa pun mengakses data sensitif pengguna Neon, termasuk nomor telepon, rekaman panggilan, dan transkripnya.
Saat menguji aplikasi, TechCrunch menggunakan alat analisis lalu lintas jaringan Burp Suite untuk menganalisis data yang keluar dan masuk dari aplikasi. Antarmuka Neon hanya menampilkan daftar sederhana panggilan terbaru pengguna dan jumlah penghasilan untuk setiap panggilan. Akan tetapi, Burp Suite berhasil mendapatkan lebih banyak informasi dari server *back-end* aplikasi, seperti transkrip panggilan lengkap dan tautan publik ke file audio mentah dari panggilan pengguna lain.
Setelah diselidiki lebih lanjut, reporter TechCrunch juga menemukan bahwa mereka bisa mengakses metadata panggilan dari pengguna lain. Informasi tersebut mencakup nomor telepon kedua belah pihak, waktu dan durasi panggilan, serta jumlah penghasilan untuk setiap panggilan.
Kiam mengatakan tim Neon langsung menutup server aplikasi tak lama setelah TechCrunch memberi tahu mereka tentang kelemahan tersebut.
Dalam sebuah email kepada pengguna, perusahaan menyatakan bahwa mereka berharap dapat kembali daring dalam waktu dekat.
“Privasi data Anda adalah prioritas utama kami, dan kami ingin memastikan keamanannya sepenuhnya bahkan selama periode pertumbuhan pesat ini,” bunyi email itu. “Oleh karena itu, kami sementara waktu menonaktifkan aplikasi untuk menambahkan lapisan keamanan tambahan.”
Cara Kerja Neon
Pengguna mendaftar dengan nomor telepon mereka dan memberikan izin kepada Neon untuk merekam panggilan yang dilakukan melalui aplikasi. Setiap kali mereka melakukan atau menerima panggilan dari aplikasi, secara otomatis kedua sisi percakapan akan direkam jika pihak lawan juga menggunakan Neon, atau secara teori, hanya sisi pengguna Neon saja yang direkam jika lawan bicaranya tidak menggunakan aplikasi tersebut.
Rekaman dan data terkait seharusnya kemudian dianonimkan—dihilangkan detail identitasnya—dan dijual kepada mitra AI dan data yang telah ditinjau. Pengguna mendapat $0,30 per menit untuk panggilan dengan pengguna Neon lainnya atau $0,15 per menit saat menelepon non-pengguna, dengan batas maksimal $30 per hari.