adminAplikasi pelacakan periode Stardust melonjak ke puncak Apple App Store AS setelah keputusan Mahkamah Agung untuk membatalkan Roe v. Wade setelah aplikasi tersebut berjanji akan mengenkripsi data pribadi penggunanya agar tidak berada di tangan pemerintah.
Tetapi TechCrunch menemukan pada hari Senin bahwa versi aplikasi Stardust yang sekarang sedang booming membagikan nomor telepon pengguna aplikasi dengan perusahaan analitik pihak ketiga, yang dapat digunakan untuk mengidentifikasi pengguna individu aplikasi tersebut.
Keputusan untuk membatalkan Roe membalikkan 50 tahun perlindungan konstitusional untuk hak aborsi di Amerika Serikat, memungkinkan masing-masing negara membuat undang-undang untuk mengkriminalkan aborsi. Keputusan tersebut telah menyebabkan seruan bagi pengguna untuk menghapus aplikasi pelacak menstruasi mereka dari ponsel mereka, karena khawatir data yang dikumpulkan oleh aplikasi ini dapat digunakan untuk membuktikan bahwa aborsi diperoleh secara ilegal.
Yang lain meninggalkan pelacak haid mereka saat ini dan beralih ke aplikasi seperti Stardust sebagai akibat dari pernyataan kuat perusahaan yang dikeluarkan sehubungan dengan keputusan untuk membatalkan Roe. Stardust mengatakan akan menerapkan enkripsi end-to-end sehingga “tidak dapat menyerahkan data pelacakan periode Anda” kepada pemerintah, membantu menarik ratusan ribu unduhan selama akhir pekan ini sebelum rilis versi aplikasi baru dengan fitur enkripsi dijadwalkan untuk dirilis pada hari Rabu.
TechCrunch menjalankan analisis lalu lintas jaringan aplikasi iPhone Stardust pada hari Senin untuk memahami data apa yang mengalir masuk dan keluar dari aplikasi. Lalu lintas jaringan menunjukkan bahwa jika pengguna masuk ke aplikasi menggunakan nomor telepon mereka (bukan melalui layanan masuk yang disediakan oleh Apple atau Google), Stardust secara berkala akan membagikan nomor telepon pengguna dengan layanan analitik pihak ketiga yang disebut Mixpanel.
Mixpanel adalah layanan analitik yang digunakan secara luas oleh pengembang aplikasi untuk melacak penggunaan aplikasi mereka dan membantu mengidentifikasi kesalahan atau cara lain untuk meningkatkan aplikasi. Ini dilakukan dengan melacak bagaimana seseorang menggunakan aplikasi dan mengirimkan data kembali ke server Mixpanel. Stardust juga berbagi dengan Mixpanel detail tentang ponsel tempat aplikasi diinstal, model iPhone dan versi perangkat lunak mana, dan operator seluler mana yang terhubung dengan ponsel.
Selama analisis lalu lintas jaringan, TechCrunch tidak melihat data kesehatan yang dibagikan dengan Mixpanel. Tetapi berbagi nomor telepon yang terkait dengan pengguna tertentu dari aplikasi pelacakan periode dengan pihak ketiga seperti Mixpanel dapat memungkinkan jaksa penuntut memaksa Mixpanel untuk menyerahkan data itu – bahkan jika Stardust mengklaim bahwa itu tidak bisa.
Pendiri Stardust Rachel Moranis memberi tahu TechCrunch, “Versi Stardust (lama) saat ini memanfaatkan beberapa mekanisme pengumpulan data Mixpanel yang telah kami nonaktifkan / hapus di versi baru. Selain tidak mengirim [personally identifiable information] ke Mixpanel, kami juga telah menonaktifkan pelacakan IP bagi pengguna kami untuk melindungi dari metadata yang digunakan untuk mengidentifikasi pengguna kami.”
Di dalam sebuah kicauanStardust mengatakan sedang “mengerjakan” cara untuk memungkinkan pengguna masuk secara anonim.
Kebijakan privasi Stardust, yang diperbarui pada 26 Juni, menunjukkan bahwa aplikasi tersebut tidak terlindungi seperti yang diklaimnya. Ini mencatat aplikasi mengumpulkan berbagai data tentang perangkat, aktivitas, dan lokasi pengguna, termasuk melalui cookie dan teknologi pelacakan lainnya. Itu juga mengukir beberapa pengecualian sehubungan dengan berbagi data, mencatat bagaimana itu dapat mengungkapkan data yang tidak dipersonalisasi dengan beberapa penyedia, dengan persetujuan pengguna, atau bila diwajibkan oleh hukum — jika harus “mematuhi atau menanggapi penegakan hukum atau proses hukum atau permintaan kerja sama oleh pemerintah atau entitas lain, baik diwajibkan secara hukum maupun tidak.”
Ini juga tampaknya bertentangan dengan bagian dari kebijakan yang menegaskan bahwa perusahaan tidak akan pernah membagikan usia pengguna atau “data apa pun yang terkait dengan kesehatan Anda dengan pihak ketiga mana pun”.
Sejak penggulingan Roe, perusahaan teknologi bersiap untuk rezim baru di mana mereka dapat menghadapi perintah hukum yang memaksa pergantian data pengguna terkait kehamilan ke otoritas negara dan jaksa penuntut. Beberapa perusahaan teknologi terbesar masih belum mengatakan bagaimana mereka akan menangani permintaan data terkait investigasi terkait orang yang mencari atau menyediakan aborsi. Itu berkontribusi pada terburu-buru untuk menemukan aplikasi dan layanan yang menggunakan enkripsi ujung-ke-ujung, yang mencegah siapa pun — bahkan pembuat aplikasi — mengakses data pengguna.
Berkat pengumumannya untuk pindah ke enkripsi, aplikasi Stardust menarik 135.000 pemasangan baru pada 24 Juni, lonjakan 4.400% dalam jumlah pemasangan yang terlihat pada hari sebelumnya, sekitar 3.000 pemasangan, menurut data dari firma kecerdasan aplikasi Sensor Tower . Pada hari Sabtu, 25 Juni, aplikasi ini mendapatkan 200.000 pemasangan lagi dan mencapai No. 1 di App Store AS, naik dari peringkat sebelumnya No. 119. Gabungan, dua hari akhir pekan menghasilkan 82% dari lebih dari 400.000 total pemasangan seumur hidup Stardust .
TechCrunch meminta informasi lebih lanjut kepada para pendiri tentang bagaimana aplikasi menerapkan enkripsi ujung-ke-ujung. Pendiri Stardust Moranis memberi tahu TechCrunch bahwa “semua lalu lintas ke server kami melalui SSL standar (dihosting di AWS) dan penyimpanan data selanjutnya di AWS RDS menggunakan implementasi enkripsi AES-256 bawaan mereka.” Meskipun ini menjelaskan penggunaan enkripsi untuk melindungi data saat transit dan saat disimpan di server Amazon, tidak jelas apakah implementasi ini akan dianggap sebagai enkripsi end-to-end yang sebenarnya.
Mengingat kerumitannya dan taruhannya, menerapkan enkripsi end-to-end seringkali merupakan upaya intensif waktu dan sumber daya, di mana satu kesalahan pengkodean dapat melemahkan perlindungan data pengguna. Ini juga tidak biasa bagi perusahaan yang menggunakan enkripsi end-to-end untuk menerbitkan makalah dan catatan teknis yang menjelaskan bagaimana sistem mereka bekerja – seringkali bahkan menjadi kebanggaan bagi beberapa perusahaan – atau bahkan membuka sumber dan menerbitkan kode mereka, sebagai bukti kriptografi bahwa sistem mereka aman.
Ketika ditanya apakah perusahaan telah melakukan audit keamanan pihak ketiga atas kode aplikasi, Moranis mengatakan bahwa perusahaan bermaksud untuk “memublikasikan sepenuhnya implementasi kami bersama dengan audit pihak ketiga setelah selesai”, tetapi garis waktu tidak diberikan. (TechCrunch akan menindaklanjuti saat hasil audit tersedia.)
Setelah kami mendengar dari Stardust, perusahaan diam-diam mengubah kebijakan privasinya lagi untuk menghapus penyebutan enkripsi end-to-end.
Sulit untuk membantah ketakutan orang-orang – industri aplikasi pelacakan periode telah diketahui telah terlibat dalam praktik berbagi data yang bocor dengan perusahaan analitik dan pelacakan pihak ketiga, serta raksasa teknologi seperti Facebook dan Google. Satu aplikasi, Flo, harus menyelesaikan tahun lalu dengan Komisi Perdagangan Federal AS karena melanggar kebijakan privasinya sendiri. Antara lain, aplikasi itu secara keliru mengklaim bahwa itu hanya membagikan informasi “yang tidak dapat diidentifikasi secara pribadi” dengan pihak ketiga – yang terbukti tidak benar oleh penyelidikan oleh Wall St. Journal.
Aplikasi lain, Glow, harus puas dengan negara bagian California tahun sebelumnya karena mengungkap informasi medis wanita.
Consumer Reports mengatakan pada bulan Mei bahwa banyak aplikasi terus menggunakan pelacak pihak ketiga dan tidak menyimpan data konsumen secara lokal di perangkat mereka yang tidak dapat dibagikan atau dijual.
Plus, aplikasi pelacakan periode tidak harus mematuhi undang-undang privasi federal yang dikenal sebagai Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan, atau HIPAA.
Namun, dengan ancaman kehilangan seluruh basis pengguna, banyak pelacak periode merilis pernyataan untuk memastikan pelanggan data mereka aman. Flo, yang menyelesaikan tinjauan privasi independen pada bulan Maret, mengatakan akan melakukan “segala daya” untuk melindungi data dan privasi pengguna. Ia juga mengatakan akan meluncurkan fitur “Mode Anonim” baru yang menghapus identitas pribadi pengguna dari akun Flo mereka.
Pembaruan, 30/6/22, 9:30 ET: Zack Whittaker menindaklanjuti pembaruan Stardust setelah aplikasi baru dirilis minggu ini dan menemukan bahwa kunci enkripsi yang dibuat secara lokal sedang diunggah ke server Stardust sendiri. Ini akan memungkinkan perusahaan kemampuan untuk mendekripsi data pengguna. Lebih lanjut di sini.
