Courtesy of TechCrunch

Bahaya Spyware Catwatchful Bocorkan Data Ribuan Pengguna dan Korban

Mengungkap kerentanan keamanan pada spyware Catwatchful yang mengekspos data pelanggan dan korban, dan memberikan panduan untuk mendeteksi serta menghapus spyware tersebut.

02 Jul 2025, 21.05 WIB

130 dibaca

Ikhtisar 15 Detik

Catwatchful adalah contoh spyware yang menyamar sebagai aplikasi pemantauan anak.
Kebocoran data dari Catwatchful mengungkapkan informasi sensitif tentang pelanggan dan korban.
Spyware seperti Catwatchful sering kali memiliki kerentanan keamanan yang dapat dieksploitasi.

Montevideo, Uruguay - Catwatchful adalah aplikasi spyware Android yang menyamar sebagai alat pemantauan anak dan mengklaim tidak dapat terdeteksi. Namun, sebuah celah keamanan ditemukan yang membuat data pelanggan dan korban bocor ke publik. Data bocor ini termasuk email, kata sandi, hingga foto, pesan, dan lokasi korban yang berhasil diakses oleh para pengguna spyware.

Peneliti keamanan bernama Eric Daigle mengungkap bahwa API yang digunakan Catwatchful tidak dilengkapi dengan perlindungan login. Ini membuat siapa saja dapat mengakses database pelanggan hanya dengan terhubung ke internet. Sebanyak 62.000 email dan kata sandi pelanggan serta data dari 26.000 korban dari berbagai negara termasuk Indonesia menjadi sasaran bocoran data ini.

Pemilik operasi spyware ini, Omar Soca Charcov dari Uruguay, secara tak sengaja teridentifikasi melalui data yang bocor. Ia tidak merespon permintaan komentar dan belum ada indikasi bahwa ia akan memberi tahu pelanggan tentang kebocoran data tersebut. Google, yang menyediakan layanan Firebase tempat data disimpan, sedang menyelidiki kasus ini dan sudah menambahkan perlindungan pada Google Play Protect.

Pengguna Android yang ingin memeriksa apakah ponsel mereka terpasang Catwatchful bisa mengetik kode angka 543210 dan menekan panggil untuk memunculkan aplikasi tersebut, meskipun tersembunyi. Menghapus spyware ini harus dilakukan dengan hati-hati karena bisa memicu pelaku yang memasang spyware, terutama bagi korban kekerasan domestik. Ada berbagai sumber dan bantuan dari lembaga seperti Coalition Against Stalkerware dan National Domestic Violence Hotline.

Kasus Catwatchful menunjukkan bahwa spyware konsumen yang dipasarkan untuk pemantauan pribadi seringkali memiliki celah keamanan serius yang tidak hanya membahayakan para korban, tapi juga pelanggan yang menggunakan aplikasi ini. Hal ini membuka kesadaran pentingnya keamanan digital dan perlindungan data pribadi di era teknologi saat ini.

Referensi:
[1] https://techcrunch.com/2025/07/02/data-breach-reveals-catwatchful-stalkerware-spying-on-thousands-android-phones/

Analisis Ahli

Eric Daigle

"Penggunaan API tanpa autentikasi dalam aplikasi spyware memperlihatkan betapa ceroboh dan berbahayanya pengembangan spyware konsumen yang acapkali diabaikan aspek keamanannya, menyebabkan dampak serius terhadap privasi korban dan pelanggan."

Ed Fernandez

"Google terus meningkatkan proteksi dengan Google Play Protect untuk melindungi pengguna Android dari spyware seperti Catwatchful, namun perlu tindakan tegas bila aplikasi melanggar kebijakan Firebase dan layanan Google lainnya."

Analisis Kami

"Kerentanan API yang tidak memerlukan autentikasi adalah kesalahan keamanan yang sangat fatal bagi aplikasi dengan skala dan dampak sebesar Catwatchful, yang menandakan kurangnya perhatian serius pada perlindungan data pengguna oleh pembuat spyware. Bocornya identitas admin membuka peluang bagi penegak hukum untuk mengusut kasus ini lebih dalam, sehingga di masa depan operasi spyware jenis ini mungkin harus lebih berhati-hati, atau bahkan menghadapi risiko dilumpuhkan secara total."

Prediksi Kami

Bocornya data ini dapat memicu tindakan hukum terhadap pengelola Catwatchful, dan kemungkinan lebih banyak operasi spyware lain akan terungkap atau diblokir oleh platform teknologi besar seperti Google.