Amazon tidak akan mengatakan apakah mereka berencana mengambil tindakan terhadap tiga aplikasi pengawasan telepon yang menyimpan banyak data pribadi individu di server cloud Amazon, meskipun TechCrunch memberi tahu raksasa teknologi tersebut beberapa minggu sebelumnya bahwa mereka menyimpan data telepon yang dicuri.
Amazon mengatakan kepada TechCrunch bahwa mereka sedang 'mengikuti proses mereka' setelah pemberitahuan kami pada bulan Februari, namun pada saat penerbitan artikel ini, operasi stalkerware Cocospy, Spyic, dan Spyzie terus mengunggah dan menyimpan foto yang diambil dari telepon orang-orang di Amazon Web Services.
Cocospy, Spyic, dan Spyzie adalah tiga aplikasi Android yang hampir identik dengan kode sumber yang sama dan bug keamanan umum, menurut seorang peneliti keamanan yang menemukannya, dan memberikan detail kepada TechCrunch. Peneliti tersebut mengungkapkan bahwa operasi tersebut membeberkan data telepon dari total 3.1 juta orang, banyak di antaranya adalah korban yang tidak tahu bahwa perangkat mereka telah diretas. Peneliti berbagi data tersebut dengan situs pemberitahuan pelanggaran Have I Been Pwned.
Sebagai bagian dari penyelidikan kami terhadap operasi stalkerware, yang meliputi menganalisis aplikasi itu sendiri, TechCrunch menemukan bahwa sebagian isi perangkat yang diretas oleh aplikasi stalkerware sedang diunggah ke server penyimpanan yang dijalankan oleh Amazon Web Services, atau AWS.
TechCrunch memberi tahu Amazon pada tanggal 20 Februari melalui email bahwa mereka menyimpan data yang diambil oleh Cocospy dan Spyic, dan kembali pada awal pekan ini ketika kami memberi tahu Amazon bahwa mereka juga menyimpan data telepon yang dicuri yang diambil oleh Spyzie.
Dalam kedua email tersebut, TechCrunch menyertakan nama masing-masing 'bucket' penyimpanan di Amazon yang berisi data yang diambil dari telepon korban.
Sebagai respons, juru bicara Amazon Ryan Walsh mengatakan kepada TechCrunch: 'AWS memiliki persyaratan yang jelas yang menuntut pelanggan kami untuk menggunakan layanan kami sesuai dengan hukum yang berlaku. Ketika kami menerima laporan pelanggaran persyaratan kami, kami segera mengkaji dan mengambil langkah-langkah untuk menonaktifkan konten yang dilarang.' Walsh menyediakan tautan ke halaman web Amazon yang menampung formulir pelaporan penyalahgunaan, namun tidak akan berkomentar mengenai status server Amazon yang digunakan oleh aplikasi.
Dalam email tindak lanjut pekan ini, TechCrunch merujuk kembali pada email 20 Februari yang mencantumkan nama-nama 'bucket' penyimpanan di Amazon. Dalam responsnya, Walsh berterima kasih kepada TechCrunch 'atas perhatiannya,' dan menyediakan tautan lain ke formulir pelaporan penyalahgunaan Amazon. Ketika ditanya lagi apakah Amazon berencana mengambil tindakan terhadap 'bucket' tersebut, Walsh menjawab: 'Kami belum menerima laporan penyalahgunaan dari TechCrunch melalui tautan yang kami berikan sebelumnya.'
Juru bicara Amazon Casey McGee, yang disalin dalam rangkaian email, mengklaim bahwa "akan tidak akurat bagi TechCrunch untuk menggambarkan substansi thread ini sebagai konstitusi ['report'] potensi penyalahgunaan."
Amazon Web Services, yang memiliki kepentingan komersial dalam mempertahankan pelanggan yang membayar, menghasilkan $ 39,8 miliar keuntungan selama 2024, berdasarkan laporan laba tahunan perusahaan itu untuk tahun 2024, yang mewakili mayoritas pendapatan tahunan total Amazon.
'Bucket' penyimpanan yang digunakan oleh Cocospy, Spyic, dan Spyzie, masih aktif pada saat penerbitan.
Mengapa Ini Penting
Kebijakan penggunaan yang dapat diterima oleh Amazon secara luas menjelaskan apa yang perusahaan izinkan pelanggan untuk disimpan di platformnya. Amazon sepertinya tidak memperdebatkan bahwa mereka tidak mengizinkan operasi spyware dan stalkerware mengunggah data di platformnya. Sebaliknya, perselisihan Amazon sepertinya sepenuhnya bersifat prosedural.
Ini bukanlah tugas seorang jurnalis — atau siapapun — untuk memantau apa yang dihosting di platform Amazon, atau platform cloud dari perusahaan lain mana pun.
Amazon memiliki sumber daya yang sangat besar, baik finansial maupun teknologinya, untuk mengenforce kebijakan mereka sendiri dengan memastikan bahwa pelaku tidak baik tidak menyalahgunakan layanannya.
Pada akhirnya, TechCrunch memberikan pemberitahuan kepada Amazon, termasuk informasi yang secara langsung menunjuk pada lokasi data pribadi yang dicuri. Amazon memilih untuk tidak bertindak atas informasi yang diterima.
Bagaimana Kami Menemukan Data Korban yang Dihosting di Amazon
Ketika TechCrunch mengetahui adanya pelanggaran data terkait pengawasan — telah ada puluhan peretasan dan kebocoran stalkerware dalam beberapa tahun terakhir — kami menyelidiki untuk mengetahui sebanyak mungkin tentang operasi tersebut.
Penyelidikan kami dapat membantu mengidentifikasi korban yang teleponnya diretas, tetapi juga dapat mengungkap identitas sebenarnya dari para operator pengawasan yang sering tersembunyi, serta platform apa yang digunakan untuk memfasilitasi pengawasan atau meng-host data korban yang dicuri. TechCrunch juga akan menganalisis aplikasi (bila tersedia) untuk membantu korban menentukan cara mengidentifikasi dan menghapus aplikasi tersebut.
Sebagai bagian dari proses pelaporan kami, TechCrunch akan menghubungi perusahaan mana pun yang kami identifikasi sebagai meng-host atau mendukung operasi spyware dan stalkerware, sebagaimana menjadi praktik standar bagi para wartawan yang berencana untuk menyebutkan sebuah perusahaan dalam sebuah cerita. Tidak jarang bagi perusahaan, seperti penyedia web hosting dan pemroses pembayaran, untuk menangguhkan akun atau menghapus data yang melanggar persyaratan layanan mereka sendiri, termasuk operasi spyware sebelumnya yang telah di-host di Amazon.
Pada bulan Februari, TechCrunch mengetahui bahwa Cocospy dan Spyic telah diretas dan kami mulai menyelidiki lebih lanjut.
Karena data menunjukkan bahwa sebagian besar korban adalah pemilik perangkat Android, TechCrunch mulai dengan mengidentifikasi, mengunduh, dan menginstal aplikasi Cocospy dan Spyic pada perangkat Android virtual. (Perangkat virtual memungkinkan kami untuk menjalankan aplikasi stalkerware di dalam lingkungan terlindungi tanpa memberikan data dunia nyata kepada kedua aplikasi, seperti lokasi kami.) Baik Cocospy maupun Spyic muncul sebagai aplikasi yang terlihat identik dan biasa bernama 'Layanan Sistem' yang berusaha menghindari deteksi dengan menyamar sebagai aplikasi bawaan Android.
Kami menggunakan alat analisis lalu lintas jaringan untuk memeriksa data yang masuk dan keluar dari aplikasi, yang dapat membantu memahami bagaimana setiap aplikasi bekerja dan menentukan data apa yang diunggah secara diam-diam dari perangkat uji kami.
Lalu lintas web menunjukkan bahwa kedua aplikasi stalkerware tersebut mengunggah data sebagian korban, seperti foto, ke 'bucket' penyimpanan yang bernama sama dengan nama mereka yang di-host di Layanan Web Amazon.
Kami mengonfirmasi hal ini lebih lanjut dengan masuk ke dashboard pengguna Cocospy dan Spyic, yang memungkinkan orang yang menanamkan aplikasi stalkerware untuk melihat data korban. Dashboard web memungkinkan kami mengakses konten galeri foto perangkat Android virtual kami setelah kami dengan sengaja meretas perangkat virtual kami dengan aplikasi stalkerware.
Ketika kami membuka konten galeri foto perangkat kami dari dashboard web masing-masing aplikasi, gambar-gambar tersebut dimuat dari alamat web yang berisi nama 'bucket' mereka yang di-host di domain amazonaws.com, yang dijalankan oleh Layanan Web Amazon.
Mengikuti berita lebih lanjut tentang pelanggaran data Spyzie, TechCrunch juga menganalisis aplikasi Android Spyzie menggunakan alat analisis jaringan dan menemukan data lalu lintas yang identik dengan Cocospy dan Spyic. Aplikasi Spyzie secara serupa mengunggah data perangkat korban ke 'bucket' penyimpanan mereka sendiri di cloud Amazon, yang kami sampaikan kepada Amazon pada tanggal 10 Maret.
