Alat Peretas Cellebrite Diduga Dipakai Rusia Lawan Oposisi Meski Hubungan Diputus

Otoritas Rusia diduga menggunakan teknologi buatan perusahaan forensik siber Cellebrite untuk meretas ponsel seorang tokoh oposisi politik terkemuka saat dalam tahanan. Dugaan ini muncul dalam sebuah laporan baru, memicu pertanyaan serius mengenai kemampuan perusahaan teknologi Barat mengontrol penggunaan produk mereka setelah berada di pasaran, terutama setelah Cellebrite menyatakan telah memutuskan hubungan dengan pemerintah Rusia.

Kasus ini menjadi peringatan keras bagi perusahaan teknologi mana pun yang menjual produknya kepada pemerintah. Cellebrite, perusahaan asal Israel dengan kantor pusat kedua di Virginia yang menjual alatnya ke berbagai pemerintahan di seluruh dunia, termasuk Amerika Serikat, sebelumnya telah mengumumkan akan berhenti menyediakan perangkat keras dan lunak untuk Rusia.

Namun, Cellebrite tampaknya tidak sepenuhnya merealisasikan atau tidak mampu melaksanakan komitmen tersebut. Para peneliti di The Citizen Lab, kelompok hak digital berbasis di University of Toronto, menemukan bukti bahwa unit investigasi pemerintah Rusia menggunakan perangkat peretas ponsel Cellebrite untuk membobol iPhone milik aktivis hak asasi manusia dan politikus oposisi lokal, Andrey Pivovarov, pada Juni 2021.

Tiga bulan sebelum peretasan itu terjadi, Cellebrite mengklaim akan “segera” berhenti menjual teknologinya kepada pelanggan pemerintah Rusia. Di situs web resminya, Cellebrite menyatakan bahwa sejak Maret 2021, ketika mereka memutuskan hubungan dengan pemerintahan Vladimir Putin, perusahaan tersebut “dapat menghentikan fungsi perangkat atau menerima pembaruan perangkat lunak.”

Tidak jelas mengapa hal itu tidak terjadi dalam kasus ini. Insiden tersebut mengungkap kebenaran yang tidak menyenangkan mengenai teknologi pengawasan: begitu teknologi peretasan dan pengawasan yang kuat jatuh ke tangan pelanggan yang salah, menarik kembali atau menghentikan penggunaannya tidaklah mudah.

Perangkat semacam itu dapat terus menyebar dan disalahgunakan, seringkali jauh setelah perusahaan pembuatnya merasa lepas tanggung jawab dari pelanggan. “Ini tidak mengejutkan, dan merupakan hasil dari kebijakan Cellebrite,” kata Eitay Mack, seorang pengacara hak asasi manusia Israel.

Mack telah lama berkampanye menentang pembuat teknologi pengawasan seperti Cellebrite dan NSO Group, perusahaan pembuat perangkat mata-mata. Ia berpendapat bahwa penghentian penjualan, bahkan pencabutan lisensi perangkat lunak, tidak menghentikan mantan pelanggan Cellebrite menyalahgunakan teknologi perusahaan, seperti yang ditunjukkan dalam kasus ini.

Mack juga menyoroti bahwa Cellebrite menolak untuk menyatakan apakah mereka meminta pelanggan untuk membongkar perangkat peretas yang telah dijual, sebuah celah krusial yang tidak diatasi dalam pengumuman pemutusan hubungan mereka. Kasus ini, tambah Mack, menunjukkan bahwa mantan pelanggan masih bisa menyalahgunakan perangkat pembuka kunci ponsel Cellebrite, yang dikenal sebagai UFED, bahkan setelah perusahaan berhenti mendukung pelanggan dan presumtif mencabut lisensi perangkat lunaknya.

Secara teori, langkah tersebut seharusnya membuat perangkat perusahaan kurang berguna. John Scott-Railton, peneliti senior di Citizen Lab, mengatakan kepada TechCrunch bahwa Cellebrite “juga harus menonaktifkan penyebaran dari jarak jauh menyusul laporan penyalahgunaan yang kredibel, dan mengakhiri era dalih penyangkalan yang masuk akal dengan menerapkan tanda air digital yang terenkripsi secara kriptografis pada semua perangkat yang datanya diekstraksi.”

Sederhananya, Cellebrite harus mampu menonaktifkan perangkatnya dari jarak jauh ketika disalahgunakan. Mereka juga harus membangun semacam sidik jari digital agar setiap data yang diekstraksi dengan teknologinya dapat dilacak kembali ke perangkat spesifik yang digunakan.

Cellebrite menjual perangkat keras yang dirancang untuk membuka kunci dan meretas ponsel yang terhubung dengannya. Selama bertahun-tahun, para peneliti telah mendokumentasikan kasus-kasus di mana pelanggan perusahaan menggunakan teknologinya terhadap para pembangkang, aktivis hak asasi manusia, dan jurnalis di Hong Kong, Kenya, dan Yordania.

Menanggapi beberapa temuan ini, Cellebrite telah memutuskan hubungan dengan Bangladesh, Tiongkok dan Hong Kong, Myanmar, serta Serbia. Dalam sebuah email kepada Citizen Lab, yang ia bagikan kepada TechCrunch, Kepala Pemasaran Cellebrite David Gee menyatakan bahwa perusahaan “menghentikan semua penjualan dan layanan ke Federasi Rusia pada Maret 2021, mengakhiri lisensi yang ada, dan segera mulai mengakhiri semua kontrak hukum.”

“Setiap penggunaan perangkat keras Cellebrite lama di Rusia setelah Maret 2021 sama sekali tidak sah,” tambah Gee. Gee, serta juru bicara Cellebrite Victor Cooper, tidak menanggapi serangkaian pertanyaan spesifik yang diajukan oleh TechCrunch.

Dalam kasus Pivovarov, peneliti Citizen Lab menemukan bukti forensik di ponselnya bahwa iPhone tersebut telah diretas dengan Cellebrite UFED. Hal ini terungkap setelah pihak berwenang Rusia menahan dan menyita iPhone 12 serta MacBook miliknya pada Mei 2021.

Pivovarov juga membagikan dokumen pengadilan yang diterimanya sebagai bagian dari penuntutannya kepada para peneliti. Dalam dokumen itu, Pusat Ahli Kriminal Pemerintah Rusia merinci penggunaan Cellebrite UFED untuk membobol ponselnya, menyatakan bahwa pihak berwenang menggunakan UFED untuk mengekstrak data termasuk pesan WhatsApp dan Telegram.

Mereka juga mencari istilah-istilah politik di ponsel, serta nama-nama tokoh oposisi, yang termasuk target dari apa yang digambarkan peneliti sebagai dugaan kampanye peretasan pemerintah Rusia. Pivovarov adalah direktur kelompok oposisi Open Russia yang kini telah dibubarkan.

Ia kemudian divonis empat tahun penjara, sebelum dibebaskan pada Agustus 2024 sebagai bagian dari pertukaran tahanan antara Rusia dan negara-negara Barat. Pertukaran ini juga membebaskan reporter Wall Street Journal Evan Gershkovich. Kedutaan Besar Rusia di Washington D.C. tidak menanggapi permintaan komentar.