Kebocoran WebRTC: Bagaimana Hal Itu Membongkar Alamat IP Asli Anda
VPN Anda aktif. Node keluar menunjukkan Anda berada di Zurich. Dompet Anda terasa anonim. Namun kemudian, sebuah fitur yang terintegrasi dalam peramban Anda diam-diam memberi tahu situs web alamat IP asli Anda—alamat yang terkait dengan rumah dan nama Anda. Fitur itu adalah WebRTC, dan celah yang ditimbulkannya disebut kebocoran WebRTC.
Bagi kebanyakan orang, itu adalah gangguan privasi. Bagi siapa pun yang memegang kripto, itu adalah mata rantai pertama yang berujung pada orang asing yang mengetahui dompet mana milik siapa. Panduan ini akan membahas sisa rantai tersebut: apa itu kebocoran WebRTC, bagaimana cara melewati VPN, bagaimana cara mengujinya, dan bagaimana cara menonaktifkannya di setiap browser. Dan mengapa hal itu jauh lebih penting saat browser Anda mengakses dompet.
Apa Itu Kebocoran WebRTC dan Mengapa Itu Terjadi
WebRTC adalah singkatan dari Web Real-Time Communication. Sederhananya, ini adalah infrastruktur yang memungkinkan browser melakukan panggilan video, obrolan suara, dan transfer file tanpa plugin, dan telah disertakan dalam setiap browser utama sejak sekitar tahun 2011. Nah, inilah bagian yang perlu diperhatikan. Untuk menghubungkan dua orang secara langsung, masing-masing pihak harus mempelajari IP pihak lain. Itu bukan bug. Itu adalah keseluruhan tugasnya.
Masalahnya adalah situs web mana pun dapat memicunya. Sebuah halaman membuka koneksi WebRTC di latar belakang. Halaman tersebut membaca alamat IP yang ditawarkan oleh browser Anda. Tidak ada permintaan izin. Tidak ada tanda yang terlihat. Lakukan itu di balik VPN, dan perhatikan alamat asli Anda tetap muncul, dan Anda mengalami kebocoran WebRTC. Semua ini bukanlah hal baru. Pengembang Daniel Roesler memposting bukti konsep yang berfungsi pada Januari 2015, mengambil IP asli langsung dari browser pengguna VPN. Sepuluh tahun kemudian, mekanisme tersebut hampir tidak berubah.
Yang membuat hal ini berbahaya adalah betapa senyapnya. Tidak ada pop-up. Tidak ada permintaan izin. Tidak ada apa pun di bilah alamat. Permintaan tersebut tidak pernah muncul di log jaringan yang mungkin terpikirkan oleh orang biasa untuk diperiksa, dan pemblokir iklan membiarkannya begitu saja, karena bagi browser itu terlihat seperti pengaturan WebRTC biasa, bukan pelacak. Jadi Anda dapat menjalankan VPN berbayar, browser yang bersih, dan pemblokir iklan sekaligus, dan tetap memberikan alamat asli Anda ke halaman pertama yang memintanya. Tak terlihat dan rutin: itulah mengapa kebocoran ini bertahan selama sepuluh tahun.
Cara Kerja Kebocoran: STUN, NAT, dan IP Anda
Untuk memahami mengapa VPN tidak secara otomatis melindungi Anda dari kebocoran WebRTC, ada baiknya melihat apa yang sebenarnya dilakukan browser di balik layar.
STUN dan ES, mekanismenya
Sebagian besar perangkat berada di belakang router yang melakukan NAT (Network Address Translation), sehingga komputer Anda tidak mengetahui alamat publiknya sendiri. Untuk menemukannya, WebRTC menggunakan pembantu yang disebut server STUN. Browser mengajukan pertanyaan sederhana kepada server STUN: "dari tempat Anda berada, alamat apa yang Anda lihat sebagai asal kedatangan saya?" Server menjawab dengan IP publik Anda. WebRTC mengumpulkan beberapa jawaban ini, yang disebut kandidat ICE, dan mencantumkannya sehingga rekanan dapat memilih rute. Situs web pengintai hanya membaca daftar itu. Tamat sudah.
Mengapa itu penting? Karena seluruh pertukaran STUN berjalan di JavaScript yang dapat dijalankan oleh halaman mana pun. Tidak ada kotak dialog, seperti yang ada untuk kamera atau lokasi Anda. Skrip tersebut membuka koneksi rekan. Ia mengambil kandidat ICE yang dihasilkan oleh browser. Ia membaca alamat dari daftar tersebut. Semuanya dalam sepersekian detik, dan tidak ada yang tampak salah bagi browser. Ia hanya melakukan pekerjaan yang memang dirancang untuk dilakukan oleh WebRTC.
IP publik versus IP lokal
WebRTC dapat memberikan dua alamat berbeda, dan keduanya memberikan informasi yang berbeda. Alamat IP publik Anda menunjukkan perkiraan lokasi Anda dan penyedia internet Anda. IP lokal Anda — misalnya 192.168.1.7 — hanya memetakan jaringan di dalam rumah atau kantor Anda. Keduanya tidak boleh berada di tangan situs web sembarangan. Tetapi alamat IP publiklah yang seharusnya membuat Anda khawatir, karena alamat tersebut mengarah kembali ke dunia nyata: sebuah kota, penyedia layanan, dan akhirnya sebuah pintu.
Mengapa VPN tidak menghentikannya?
VPN mengalihkan lalu lintas normal Anda. Masalahnya adalah permintaan STUN dapat lolos keluar dari terowongan tersebut, mencapai server STUN secara langsung, dan kembali membawa IP publik asli Anda. Browser memang menambal sebagian dari ini pada tahun 2019 dan 2020, mengganti IP lokal dengan nama host mDNS yang diacak. Ini membantu, tetapi hanya menyembunyikan kandidat lokal. IP publik dari STUN masih dapat keluar. Lebih buruk lagi, penyamaran sering kali hilang saat situs web memiliki izin mikrofon atau kamera. Jadi kebocoran tetap terjadi tepat di tempat yang dianggap aman oleh kebanyakan orang.
Cara Menjalankan Tes Kebocoran WebRTC dengan Benar
Pengecekan hanya membutuhkan waktu sekitar satu menit, dan Anda tidak perlu mempercayai begitu saja perkataan siapa pun.
Mulailah dengan VPN dimatikan dan catat IP publik yang ditampilkan oleh koneksi Anda. Sekarang aktifkan VPN dan buka halaman uji kebocoran WebRTC, misalnya browserleaks.com/webrtc atau ipleak.net. Bandingkan. Jika VPN berfungsi dengan baik dan tidak ada kebocoran IP, Anda seharusnya hanya melihat alamat VPN. Jika angka dari langkah pertama muncul di mana pun di halaman tersebut, Anda telah menemukan kebocorannya. Untuk gambaran yang lebih lengkap tentang semua yang diekspos oleh browser Anda, logika yang sama berlaku untuk serangkaian pemeriksaan yang lebih luas yang dibahas dalam panduan kami tentang BrowserLeaks.
Ada beberapa hal yang sering membuat orang salah paham saat memeriksa kebocoran WebRTC. Anda mungkin melihat IP lokal yang terlihat seperti string acak yang diakhiri dengan .local. Jangan panik; itu adalah masking mDNS yang sedang bekerja, bukan kebocoran. Alamat yang penting adalah alamat publik. Uji di browser dan profil yang sama persis yang Anda gunakan untuk hal-hal sensitif. Pengaturan dan ekstensi tidak akan terbawa. Dan jalankan lagi setelah setiap pembaruan browser, karena patch dapat secara diam-diam mengembalikan pengaturan ini.
Browser Mana yang Membocorkan Alamat IP Anda, dan Mana yang Tidak?
Tidak semua browser menangani kebocoran WebRTC dengan cara yang sama, dan perbedaan ini penting karena bagaimana pasar terbagi.
| Browser | Risiko kebocoran WebRTC | Perlindungan bawaan |
|---|---|---|
| Chrome | Tinggi | Tidak ada fitur bawaan; memerlukan ekstensi. |
| Firefox | Sedang-tinggi | Secara default, IP publik akan terekspos, tetapi mudah dinonaktifkan. |
| Berani | Rendah | Perlindungan sidik jari dan WebRTC diaktifkan secara default. |
| Peramban Tor | Tidak ada | RTCPeerConnection dinonaktifkan sepenuhnya |
Chrome berada di pusat masalah ini, semata-mata karena jangkauannya. Pada Mei 2026, Chrome menguasai sekitar 70% pasar peramban global , dan tidak dilengkapi dengan pengaturan bawaan untuk menghentikan WebRTC agar tidak membocorkan IP Anda. Firefox, dengan pangsa pasar sekitar 2%, juga membocorkan IP publik secara default, meskipun setidaknya memungkinkan Anda untuk menonaktifkan fitur tersebut dalam satu pengaturan. Brave adalah titik terang. Browser ini melampaui 101 juta pengguna aktif bulanan pada September 2025, dan merupakan satu-satunya peramban Chromium utama yang mengaktifkan perlindungan WebRTC secara bawaan. Dan Tor? Tor menghindari masalah ini dengan menonaktifkan koneksi antar pengguna sepenuhnya, dan itulah sebabnya para peneliti privasi terus mengarahkan pengguna baru ke Tor.
Cara Menonaktifkan WebRTC dan Mencegah Kebocoran Data
Ada dua cara untuk mematikannya. Matikan WebRTC sepenuhnya, atau batasi aksesnya sehingga hanya alamat yang Anda pilih yang dapat diakses. Pilihan mana yang Anda inginkan bergantung pada apakah Anda benar-benar melakukan panggilan video di browser Anda. Berikut versi praktisnya, browser demi browser.
| Browser | Cara menonaktifkan atau membatasi | Memengaruhi |
|---|---|---|
| Firefox | about:config, set media.peerconnection.enabled to false | Nonaktifkan sepenuhnya |
| Chrome | Instal WebRTC Network Limiter atau WebRTC Control. | Membatasi paparan |
| Tepian | edge://flags, aktifkan "Anonimkan IP lokal" | Sebagian |
| Safari | Mengembangkan menu, Fitur Eksperimental, membatasi WebRTC | Sebagian |
Chrome dan Edge
Chrome agak merepotkan. Tidak ada tombol nonaktif yang tersembunyi di menu, jadi untuk memblokir WebRTC Anda memerlukan ekstensi. Google menerbitkan ekstensinya sendiri, WebRTC Network Limiter. Ekstensi ini membatasi alamat-alamat yang berisiko tanpa menghentikan panggilan Anda. Ingin sesuatu yang lebih langsung? WebRTC Control menonaktifkannya hanya dengan sekali klik. Microsoft Edge berjalan pada mesin Chromium yang sama, jadi ekstensi tersebut juga berfungsi di sana, tetapi juga menyembunyikan fitur praktis di edge://flags yang menyembunyikan IP lokal Anda.
Firefox
Firefox mempermudah hal ini. Ketik about:config di bilah alamat, lewati peringatan yang menakutkan, cari media.peerconnection.enabled, dan ubah nilainya menjadi false. Selesai. WebRTC dimatikan. Namun, ada satu kekurangan: panggilan video dan suara di dalam browser akan mati hingga Anda mengaktifkannya kembali.
Safari dan Opera
Safari secara default memilih pendekatan yang lebih aman, dan Anda dapat memperketat WebRTC lebih lanjut dari menu Develop di bawah Experimental Features. Opera menggunakan Chromium, sehingga mengandalkan ekstensi yang sama yang berfungsi di Chrome.
Menggunakan VPN, dan konsekuensi yang menyertainya.
Kemudian ada jalur VPN. Jika Anda menggunakan VPN dengan perlindungan kebocoran yang asli, VPN tersebut akan mengarahkan lalu lintas WebRTC melalui terowongannya sendiri, sehingga server STUN hanya akan melihat alamat VPN. Ini adalah pilihan terbersih, karena panggilan Anda tetap berfungsi, dan server proxy tepercaya dapat mencegah kebocoran IP dengan cara yang sama. Masalahnya adalah kepercayaan. Tidak semua VPN benar-benar melakukan ini. Ketika VoidSec menguji 70 penyedia VPN pada tahun 2018 , 16 di antaranya masih membocorkan IP asli melalui WebRTC. Sekitar 23%. VPN yang bagus telah memperbaikinya sejak saat itu, tetapi pelajarannya tetap berlaku: uji, jangan berasumsi. Ingin jalur yang menyeluruh? Nonaktifkan WebRTC sepenuhnya. Ingatlah bahwa ini akan merusak apa pun yang bergantung padanya.
Mengapa Kebocoran WebRTC Mengancam Pemegang Kripto
Bagi pengguna kripto, IP yang terekspos bukanlah sekadar catatan kaki privasi. Itu adalah celah antara kehidupan Anda di blockchain dan kehidupan fisik Anda. Dan belakangan ini, celah itu telah menjadi berbahaya.
Rantai serangan IP-ke-dompet
Alamat blockchain bersifat pseudonim, bukan anonim. Setiap transaksi yang pernah Anda lakukan terpampang jelas di depan umum. Satu-satunya hal yang mencegahnya mengarah kembali kepada Anda adalah label yang hilang: nama, lokasi. Alamat IP adalah label tersebut. Dan para peneliti telah membuktikan bahwa keterkaitan ini praktis lebih dari satu dekade yang lalu. Dalam sebuah studi tahun 2014 , Alexandre Biryukov dan rekan-rekannya menggunakan sejumlah node yang ditempatkan dengan baik untuk menghubungkan pseudonim Bitcoin ke alamat IP yang pertama kali menyiarkan transaksi mereka. Kebocoran WebRTC memberikan koneksi yang sama kepada penyerang secara gratis. Buka penjelajah blok atau DEX saat IP asli Anda terekspos, dan satu halaman dapat menghubungkan dompet yang Anda pantau ke rumah dan penyedia layanan internet Anda.
Dan bahayanya semakin besar, karena kebocoran tersebut tidak perlu terjadi di tengah transaksi. Kebocoran hanya perlu terjadi sekali, di halaman mana pun yang menjalankan skrip berbahaya, saat Anda memeriksa saldo atau menjelajahi pasar. Setelah itu? Alamat IP akan dicocokkan dengan catatan ISP, profil broker data, dan pelanggaran data lama. Cepat atau lambat, sebuah nama akan melekat. Dompet tersebut sudah publik sejak awal. Kebocoran tersebut hanya memberikan labelnya.
Dari pengungkapan identitas hingga ketukan di pintu
Dahulu ini hanyalah kekhawatiran abstrak. Tapi sekarang tidak lagi. Serangan yang disebut "serangan kunci" (wrench attack), di mana pemegang kunci dirampok atau diculik, meningkat sekitar 75% pada tahun 2025, dengan 72 insiden yang dikonfirmasi dan setidaknya $41 juta yang diambil, menurut pelacakan industri . Polanya hampir tidak berubah: penyerang menggabungkan kekayaan on-chain yang terlihat dengan identitas off-chain untuk menempatkan orang sungguhan di alamat sungguhan. Alamat IP Anda adalah salah satu cara paling mudah untuk memastikan bagian kedua tersebut.
Balikkan situasinya dan berpikirlah seperti penyerang. Mereka sudah dapat melihat dompet mana yang menyimpan uang sungguhan; bagian itu bersifat publik. Yang mereka lewatkan adalah peta dari alamat besar ke pintu depan. Sebuah IP mempersempit pencarian dari seluruh internet menjadi sebuah kota, ISP, seringkali hanya satu lingkungan. Sisanya adalah pekerjaan lapangan biasa. Bagi peramban rata-rata, kebocoran seperti ini hanyalah hal sepele. Bagi seseorang yang menyimpan jutaan dolar di blockchain, ini adalah garis pemisah antara nama samaran dan target yang ditandai. Kesenjangan itulah mengapa pengguna kripto harus melaporkan kebocoran WebRTC di bawah kategori keamanan, bukan preferensi privasi online.
IP Anda adalah data pribadi.
Ada juga sudut pandang hukumnya. Pada tahun 2016, Mahkamah Eropa memutuskan dalam kasus Breyer bahwa bahkan alamat IP dinamis pun dianggap sebagai data pribadi, selama seseorang dapat menggunakannya secara wajar untuk mengidentifikasi kembali Anda. Dengan logika itu, situs yang diam-diam mengambil data IP Anda melalui WebRTC memproses data pribadi tanpa persetujuan. Itu tidak menutup kebocoran data. Tetapi itu menunjukkan betapa seriusnya regulator menanggapi hal yang diberikan browser Anda secara gratis.
Tutup kebocoran sebelum terjadi.
Kebocoran WebRTC bersifat senyap, tidak meminta izin, dan VPN saja tidak akan menyelamatkan Anda darinya. Jadi, tingkatkan pertahanan Anda. Pilih peramban yang melindungi Anda secara default, atau matikan WebRTC jika tidak. Gunakan VPN yang benar-benar lolos uji kebocoran untuk menyembunyikan IP Anda. Periksa kembali setelah setiap pembaruan. Bagi siapa pun yang memindahkan dana, tujuannya sempit dan perlu dikatakan dengan jelas: jaga agar tautan antara dompet Anda dan IP Anda tidak pernah terbentuk, karena begitu terbentuk, Anda tidak dapat menariknya kembali. Jadi, kapan terakhir kali Anda menguji apa yang sebenarnya dibocorkan oleh peramban Anda?
