Setiap orang memiliki identitas, di Indonesia kita memiliki KTP alias Kartu Tanda Penduduk. Penggunaan KTP di dunia nyata sudah sangat jelas: Untuk "memverifikasi" bahwa itu benar-benar kita.

Di dunia digital?

Sama, tapi, tujuannya untuk meng-identifikasi kamu. Sehingga kamu akan mendapatkan iklan yang "relevan" berdasarkan "profile kamu" yang sudah dibuat. Karena email & cookie saja tidak cukup. Penyedia iklan harus bisa meng-identifikasi kamu, bahkan ketika kamu tidak login ke jaringan mereka.

Pembuatan KTP

Untuk membuat KTP, kita harus ke disdukcapil. Mengisi data-data yang dibutuhkan, foto, dan memberikan sidik jari kita. Setelah beberapa hari, kita akan diberikan kartu KTP beserta NIK (Nomor Induk Kependudukan) nya, dan kita bisa menggunakan NIK tersebut untuk berbagai keperluan (Daftar rekening, kartu kredit, dsb).

Pembuatan "identitas" di digital

Di level layanan, ketika kamu mendaftar akun dan memberikan data:

  • Email
  • Nama
  • Password
  • Nomor telepon

Pada dasarnya "profile" kamu sudah berada di layanan mereka. Misal, Facebook. Facebook tau klo itu kamu berdasarkan data yang diinput ke system mereka (ketika login misalnya). Lalu kamu akan diberikan "akses" via token dsb sebagai "penanda" bahwa kredensial tersebut benar dan mengarah ke kamu.

Facebook adalah sosial media, dan 90% sosial media mendapat keuntungan dari iklan. Facebook bisa memberikan iklan yang relevan ke kamu berdasarkan data-data yang kamu input:

  • Kesukaan (Status like, fanspage like, dsb)
  • History pencarian (Kamu tertarik dengan sesuatu)
  • Profile yang dikunjungi
  • Teman
  • Dsb

Jika kamu menyukai 4 status dari Starbucks, menyukai fanspage nya Starbucks, dan memiliki teman yang bekerja sebagai Barista, maka besar kemungkinan kamu penyuka kopi.

Dan Facebook mengetahuinya.

Maka, menampilkan iklan-iklan seputar kopi ke kamu adalah sesuatu yang relevan dengan kamu, yang berarti, kemungkinan iklan tersebut "mendapatkan action" akan lebih besar karena kamu "memiliki ketertarikan" terhadap iklan tersebut.

"Beli kopi di Starbucks bayar pakai Gopay, dan dapatkan cashback sampai 50%. Klik disini untuk selengkapnya!"

Gimana, tertarik klik iklan diatas wahai penikmat kopi?

Almost is never enough

Kehidupan kamu tidak hanya sebatas di Facebook, dan pastinya Facebook sudah sadar dengan itu. Facebook ingin "mengikuti kamu" kemanapun website yang kamu kunjungi. Facebook menawarkan Comment Widget salah satunya, sebuah cara untuk menambahkan "fitur komentar" pada suatu website dengan mudah.

Tidak perlu banyak upacara, jika kamu memiliki akun Facebook, maka kamu bisa mengirim komentar pada website tersebut. Bahkan, kamu (mungkin) tidak perlu login lagi, jika kamu sudah login ke Facebook. Facebook bisa tau kamu sudah login atau belum karena sebuah file kecil yang berada di komputer kamu yang bernama Cookie.

Cookie digunakan biasanya untuk meng-identifikasi kamu, seperti, memberikan "akses" via token, dan menyimpannya di Cookie kamu. Jika kamu melakukan "clear cookie" di browser kamu, maka Facebook (dan layanan lain pastinya) tidak akan mengetahui kamu lagi, sampai kamu login lagi ke Facebook.

Apakah sudah cukup?

Hampir, dan hampir tidak akan pernah cukup.

Bagaimana bila kamu tidak login ke Facebook, tapi Facebook masih ingin mengetahui jika itu kamu? Bagaimana Facebook ingin mengetahui jika itu "kamu" sedangkan kamu tidak memiliki Facebook?

Namun memiliki akun dilayanan lain yang mungkin ber-afiliasi dengan Facebook entah langsung ataupun secara langsung?

Fingerprint

Ingat jika kamu harus memberikan sidik jari kamu ke "pemerintah" sebagai syarat pembuatan KTP? Di dunia digital, kamu juga memiliki "sidik jari". Tak peduli kamu tidak menggunakan Facebook, Twitter, dsb.

Karena "sidik jari", yang di identifikasi adalah "kamu di internet", bukan "kamu di Facebook".

Baik, per-2019 pengguna internet di dunia ada sekitar 7 milyar. Bagaimana bisa kita "di identifikasi" sedangkan bahkan kita tidak pernah memberikan sidik jari satupun ke internet?

Browser kamu!

Kita akan melakukan "profiling" sebisa mungkin, sampai data yang didapat benar-benar unik (alias tidak sama dengan 7 milyar pengguna internet tersebut). Untuk membuatnya unik, kita perlu data-data.... yang menghasilkan sesuatu yang unik?

Contoh:

  • Browser yang kamu gunakan
  • OS yang kamu gunakan
  • Font yang kamu install
  • IP Address yang kamu pakai
  • Dsb

Dari 4 data tersebut aja, kamu bisa berbeda dari 7 milyar pengguna internet tersebut. Mungkin, bisa saja data kamu sama dengan 8 juta pengguna internet lainnya didunia?

Tapi dari 7 milyar ke 8 juta adalah perubahan yang drastis! Dari 8 juta bahkan (mungkin) bisa kita kurangi lagi dari identifikasi via IP Address. Dari alamat IP, kamu bisa diketahui lokasinya dimana via Geolocation. Anggap IP Address kamu 36.65.24x.xxx

Berdasarkan geolocation, kamu berada di Bandung. Bahkan bisa diketahui kamu menggunakan ISP apa. Dan tebak, data diatas adalah akurat karena saya berada di Bandung dan menggunakan Indiehouse :))

Jadi, dari 8 juta tersebut bisa kita kurangi lagi angkanya. Misal, dari fingerprint d7db4f55ba6530e19dbaa0fad5cb85a8a41700e1531224c9ad49bxxxxxxxxxx7, siapa saja yang tinggal di Bandung dan menggunakan ISP telkon? Jika ada 600 users, tinggal cari lagi terus kalau memang ingin, jika ternyata hanya 1 orang?

Tinggal assign klo itu adalah gue :))

Mungkin proses tidak sesimple itu, tapi kira-kira begitulah gambaran luasnya.

Diatas adalah contoh untuk gue, dan karakteristik browser yang gue gunakan sama dengan 1,310,951 orang yang pernah akses amiunique.org. amiunique.org tidak meng-identifikasi geolocation, silahkan bayangkan bila ditambah geolocation.

Membuat fingerprint

Mari kita coba membuat fingerprint kamu. Klik tombol dibawah (tidak ada data yang disimpan)





Data-data yang diambil antara lain:

  • User Agent (Browser)
  • Bahasa yang digunakan
  • Opsi Do Not Track
  • Resolusi (Layar)
  • Color Depth (Layar)
  • Timezone (Asia/Jakarta)
  • Platform (MacIntel)
  • CPU Cores
  • GPU Vendor
  • Apakah di mobile/desktop?
  • Apakah mendukung localStorage?
  • Apakah mendukung sessionStorage?
  • Apakah mendukung indexed-db?
  • Font yang diinstall
  • Canvas yang dibuat

Sumber kodenya bisa dilihat disini. Di kasus yang lebih serius, data-data lain seperti alamat IP & apakah menggunakan AdBlock pun dikumpulkan.

Kesimpulan

Mari kita ambil kesimpulan dengan gaya "tanya-jawab".

Apakah ini membahayakan kehidupan saya di Internet?

Tidak. Browser fingerprint hanya berguna untuk meng-identifikasi kamu "secara garis besar", contoh kasus bisa untuk melakukan "fraud detection". Misal, kamu biasa login pakai "browser ini (fingerprint)" di "Bandung", kok tiba-tiba ada yang login pakai "browser ini (fingerprint)" di "Semarang"?

Dan bisa juga untuk melacak kamu :))

Misal, farizrizaldy@something.com adalah orang yang sama dengan halofariz@something.com bila berdasarkan "browser fingerprint", jadi, pada dasarnya, iklan ini harusnya relevan!

Apakah bisa mencegah browser fingerprint?

Sayangnya, enggak. Meskipun kamu men-disable JavaScript, mem-block third-party cookie request, dsb browser fingerprint kamu tetap masih bisa unique.

Jika kamu peduli dengan ini, paling cara yang bisa kamu gunakan adalah "membohongi" mereka. Misal, mengubah User Agent, mengubah bahasa, dsb. Tor browser memberikan fitur tersebut, jika kamu seseorang yang sangat sensitif dengan ini.

Apa yang harus saya lakukan?

Keep calm. Internet tidak seseram yang kamu bayangkan, sampai kamu merasakannya :))

Hal yang paling "menyebalkan" dari Internet adalah "Iklan yang ter-target". Karena ter-target, berarti identitas kamu (secara garis besar) sudah dipegang oleh "mereka".

Mereka meng-identifikasi kamu, membuat profile kamu, dan bahkan "mungkin" bisa mengubah cara pandang kamu.

Mengapa kamu menulis ini?

Sebelumnya, pernah membuat fitur untuk fraud detection. Kita mengumpulkan banyak data, dan salah satunya adalah browser fingerprint. Data tersebut untuk mengidentifikasi apakah "user" melakukan transaksi palsu, apakah user dengan email someone@something.com dengan something@someone.com sama (meskipun berbeda IP), dan lain-lain yang enggak bisa disebutkan semua terkait NDA.

Kita membuat fitur tersebut karena platform yang dikembangkan adalah sebuah E-commerce yang melibatkan transaksi. Demi tujuan "keamanan" untuk pengguna akhir, gue setuju untuk ikut andil dalam fitur tersebut.

Bila digunakan untuk hal lain seperti "targeted ads" misalnya, that's not my business, okay?

Bagaimana cara berinternet dengan aman, nyaman, dan sehat?

Gue sedang "meng-advokasi" tentang itu juga. Topik ini masih menjadi hal yang tabu untuk masyarakat Indonesia karena bentuknya "tidak terlihat" dan dampaknya "tidak terasa".

Gue bukan terlalu sensitif, atau bahkan merasa insecure. Bayangkan kamu diikuti & diawasi oleh orang random, lalu orang random tersebut mempelajari kamu seperti hobi kamu, tempat makan favorit kamu, barang yang kamu beli, dll.

Risih enggak?

Pernah enggak bertanya ngapain sih lu ngumpulin data-data gue? Emangnya buat apa?

Enggak, kan?

Kalo kamu gila promo, cashback, flash sale, dan lain sebagainya yang terkait dengan uang, this topic is not yours. Jika kamu peduli, stay tune!

Thanks for stopping by.