Mengapa Pelacak Kalorimu Tidak Butuh Email Anda
MyFitnessPal, Cronometer, MacroFactor, Lose It!. Semuanya ingin email, kata sandi, kadang tanggal lahir dan jenis kelamin Anda, sebelum Anda bisa mencatat satu dada ayam.
Kami membangun Onyx Tenet tanpa syarat itu. Unduh, buka, catat. Tidak ada server di antara Anda dan catatan makanan Anda.
Ini adalah keputusan arsitektur pertama yang kami buat, dan itu memengaruhi semuanya.
Mengapa mereka meminta
Ada tiga alasan pelacak kalori memerlukan akun, dan tidak satupun darinya adalah untuk membuat aplikasi berfungsi.
1. Penargetan iklan
MyFitnessPal dan Lose It! menawarkan tier gratis yang didukung iklan. Alamat email mengaitkan data penggunaan Anda dengan identitas yang bisa ditargetkan jaringan iklan. Catatan makanan Anda menjadi sinyal perilaku: apa yang Anda makan, kapan Anda makan, seberapa konsisten Anda melacak. Sinyal itu bernilai.
Kebijakan privasi MyFitnessPal sendiri mengakui berbagi informasi pengguna dengan "mitra pemasaran dan periklanan" dan menyatakan bahwa penggunaan tertentu dari cookie pelacakan "dapat dianggap sebagai penjualan atau berbagi informasi pribadi" di bawah hukum privasi yang berlaku. Ini bukan spekulasi. Ini pengungkapan mereka.
2. Penguncian
Begitu catatan makanan Anda berada di server orang lain di balik login mereka, keluar berarti kehilangan data Anda. Bertahun-tahun makanan, riwayat berat badan, makanan kustom, resep. Akun bukan fitur. Itu pagar.
MyFitnessPal membuat ini struktural: ekspor CSV dikunci di Premium seharga $80/tahun. Pengguna gratis tidak bisa mengekspor data mereka sendiri. Anda bisa memasukkan data, tetapi tidak bisa mengambilnya tanpa membayar.
3. Metrik keterlibatan
Rasio DAU/MAU, cohort retensi, tingkat konversi funnel. Ini angka yang penting bagi investor dan pengiklan, dan semuanya memerlukan pengguna yang teridentifikasi. Pengguna anonim yang membuka aplikasi setiap hari tidak terlihat oleh metrik ini. Akun mengubah orang itu menjadi titik data.
MacroFactor bahkan tidak menawarkan tier gratis. Tier gratis Cronometer menayangkan iklan. Setiap pelacak utama membangun model bisnisnya di atas asumsi bahwa pengguna akan membuat akun. Akun melayani bisnis. Aplikasi akan tetap berfungsi tanpa itu.
Apa yang terjadi saat semuanya salah
Ini tidak akan terlalu menjadi masalah jika datanya tetap aman. Tidak.
Pada Februari 2018, MyFitnessPal mengungkap bahwa pihak tak berwenang telah mengakses 150 juta akun pengguna: nama pengguna, alamat email, dan kata sandi yang di-hash. Saat itu, itu salah satu kebocoran data terbesar yang pernah tercatat.
Pada Maret 2026, Cal AI (yang telah mengakuisisi MyFitnessPal) mengalami kebocoran kedua. Peneliti keamanan menemukan backend Firebase tanpa autentikasi, dapat dibaca tanpa kredensial apa pun. Data yang terekspos mencakup nama, email, tanggal lahir, jenis kelamin, tinggi badan, berat badan, tujuan kesehatan, target makro, dan log makan dengan cap waktu. 3,2 juta catatan pengguna di 14,59 GB data. Salah satu catatan milik seorang anak yang lahir pada 2014.
Ini bukan insiden terisolasi. Pada 2021, agregator data kebugaran bernama GetHealth membiarkan basis data tak terlindungi mengekspos 61 juta catatan yang diambil dari Fitbit, Strava, dan Google Fit. Data itu tersimpan di server tanpa kata sandi.
Catatan makanan, riwayat berat badan, dan email Anda kini ada di basis data kebocoran. Tidak ada alasan arsitektural mengapa semuanya harus berada di server orang lain sejak awal.
Seperti apa arsitektur tanpa akun
Inilah yang kami bangun sebagai gantinya.
Basis data local-first. Catatan makanan, riwayat berat badan, dan makanan kustom Anda hidup di basis data lokal di perangkat Anda (SwiftData di iOS, Room di Android). Tidak ada yang diunggah secara default. Tidak perlu koneksi internet. Aplikasi bekerja penuh secara offline.
Tidak bergantung pada server untuk fungsi inti. Mencatat makanan, memindai barcode, melihat riwayat Anda, mengecek adaptive TDEE Anda: semuanya tidak memerlukan koneksi jaringan atau akun pengguna. Server bukan bagian dari jalur kritis.
Pemindaian barcode melalui API publik. Pencarian barcode memakai OpenFoodFacts, basis data terbuka yang dikelola komunitas. Tidak perlu akun di pihak mereka atau pihak kami.
Portabilitas data penuh. Data Anda bisa diekspor sebagai file JSON kapan saja, dari layar mana pun di Settings. Ini bukan CSV mingguan yang dibatasi atau fitur khusus Premium. Itu data Anda. Itu file. Anda yang mengontrolnya.
Analitik anonim. Kami memakai PostHog untuk analitik penggunaan dengan kebijakan ketat: tanpa PII, tanpa data catatan makanan, tanpa data berat badan. Toggle analitik di Settings memungkinkan Anda menonaktifkannya sepenuhnya. Untuk pengguna yang mengaktifkan cloud backup, kami memakai Firebase UID pseudonim untuk kontinuitas analitik. Bukan email Anda. Bukan nama Anda.
"Tapi bagaimana kalau saya kehilangan ponsel?"
Ini adalah keberatan yang jujur, dan kami menanggapinya serius. Jika data Anda hanya hidup di perangkat Anda, kehilangan perangkat berarti kehilangan data.
Tiga lapis pertahanan:
Ekspor JSON. Ekspor data Anda ke Files, iCloud Drive, Google Drive, atau tempat lain Anda menyimpan file. Satu ketukan di Settings. Ekspor adalah cuplikan lengkap: catatan makanan, riwayat berat badan, makanan kustom, resep, pengaturan.
Pencadangan platform. Baik iOS maupun Android secara otomatis mencadangkan data aplikasi ke iCloud dan Google masing-masing, kecuali Anda menonaktifkannya. Bagi kebanyakan pengguna, data mereka sudah dicadangkan tanpa tindakan apa pun dari pihak mereka.
Cloud backup opsional. Jika Anda menginginkan cloud backup yang jelas dengan restore di perangkat mana pun, Onyx Tenet menyediakannya. Anda masuk dengan tautan email. Kami memakai email itu untuk satu hal: agar Anda bisa mengakses backup Anda sendiri. Tidak ada kata sandi. Tidak ada profil. Tidak ada akun dalam pengertian tradisional. Jika suatu saat kami membangun akun penuh di masa depan, itu akan opt-in, dan akan ada untuk alasan yang menguntungkan Anda, bukan kami.
Intinya bukan bahwa backup tidak perlu. Intinya adalah backup harus menjadi pilihan sadar, bukan pembuatan akun wajib yang juga berfungsi sebagai mekanisme pengumpulan data.
Perbandingan lanskapnya
| MyFitnessPal | Cronometer | MacroFactor | Lose It! | Onyx Tenet | |
|---|---|---|---|---|---|
| Akun diperlukan | Ya | Ya | Ya | Ya | Tidak |
| Catatan makanan disimpan | Server mereka | Server mereka | Server mereka | Server mereka | Perangkat Anda |
| Iklan tier gratis | Ya | Ya | Tidak ada tier gratis | Ya | Tanpa iklan. Selamanya. |
| Berbagi ke jaringan iklan | Ya | Ya (tier gratis) | Tidak | Identifier iklan | Tidak |
| Ekspor data | CSV (Premium saja) | CSV (semua tier) | Spreadsheet (subscriber) | CSV (mingguan, web saja) | JSON (lengkap, kapan saja) |
| Harga tahunan | Premium $80/thn | Gold (berbayar) | $72/thn | $40/thn | Inti gratis |
Sumber: kebijakan privasi terkini dan listing App Store masing-masing perusahaan. Semua klaim bisa diverifikasi publik.
Trade-off
Local-first berarti trade-off nyata. Kami tidak akan pura-pura sebaliknya.
Tidak ada sinkronisasi lintas perangkat otomatis secara default. Data Anda hidup di perangkat tempat Anda mencatatnya. Cloud backup (opsional) menyediakan restore di perangkat mana pun, tetapi bukan sinkronisasi real-time di banyak perangkat. Itu fitur yang mungkin kami tambahkan nanti, dan akan bersifat opsional serta terenkripsi.
Tidak ada pemulihan kata sandi untuk data lokal. Jika Anda menghapus aplikasi tanpa mengekspor atau mencadangkan, data Anda hilang. Ekspor JSON adalah polis asuransi Anda.
Anda bertanggung jawab atas backup Anda sendiri. Kami memberi Anda alatnya (ekspor, backup platform, cloud backup), tetapi default-nya adalah data Anda tetap lokal. Itulah intinya.
Ini keputusan desain yang disengaja, bukan kelalaian. Alternatifnya adalah apa yang dilakukan pelacak lain: mewajibkan akun sejak hari pertama, menaruh data Anda di server mereka, lalu menyebutnya fitur.
Onyx Tenet tidak membutuhkan email Anda. Unduh, buka, catat. Data Anda tetap di perangkat Anda kecuali Anda secara eksplisit memilih sebaliknya.
Onyx Tenet gratis. Tidak perlu akun.