Proyek

Celah Menganga Tanda Gampang Dibobol

Jum'at, 10 September 2021

Dugaan kebocoran data aplikasi eHAC jadi pengingat bahwa keamanan siber Indonesia masih rentan.

Oleh Faisal Javier

tempo

Konsultan keamanan siber sekaligus pendiri Ethical Hacker Indonesia, Teguh Aprianto, punya penjelasan seperti apa kemudahan membobol data di Indonesia. “Kita bahkan bisa nemu data (pribadi) di Google Docs,” ujar Teguh saat dihubungi pada Rabu, 8 September 2021. 

Teguh menyodorkan tulisannya yang dimuat di situs Mojok.co, berjudul “Hanya Budiman Sudjatmiko yang Bisa Wujudkan Perlindungan Data Pribadi di Indonesia”. Ia menyilakan Tempo untuk mengutip tulisan itu.

“Untuk pencarian yang bersifat acak, hanya dibutuhkan waktu 2 detik untuk mendapatkan data pribadi seperti NIK dan KK seorang WNI. Untuk pencarian yang ditargetkan, hanya butuh 5 detik untuk mendapatkan data pribadi orang yang kita cari,” tulis Teguh dalam artikel itu.

Isu keamanan data pribadi kembali mengemuka usai dugaan kebocoran sekitar 1,3 juta data pengguna aplikasi eHAC, yaitu aplikasi pelacakan status kesehatan orang-orang yang masuk ke Indonesia serta yang akan bepergian dengan pesawat. Tim peneliti vpnMentor menemukan pertahanan basis data aplikasi itu rapuh dan menilai pengembang telah gagal menerapkan protokol privasi data yang memadai. Bahkan mereka tidak menemui hambatan sama sekali dalam mendapatkan data yang terekam dalam eHAC.

“Mereka membiarkan data lebih dari satu juta penggunanya terekspos pada server terbuka,” kata vpnMentor melalui situs mereka, Senin 30 Agustus 2021. Total kapasitas data yang bocor mencapai 2 GB. Terdapat beragam jenis data yang bocor dari aplikasi itu.

Kepala Pusat Data dan Informasi Kemenkes, Anas Maruf pada 31 Agustus 2021 menyebut bahwa dugaan kebocoran diduga terjadi pada eHAC lama yang telah dinonaktifkan sejak 2 Juli 2021 dan diakibatkan oleh kebocoran sistem di pihak ketiga. Esoknya, ia mengklaim tidak ada data eHAC yang bocor.

Badan Siber dan Sandi Nasional (BSSN) menyebut bahwa yang sesungguhnya terjadi adalah sensitive data exposure alias terbebernya data sensitif. Ini menunjukkan bahwa port dalam sistem elektronik eHac bisa dimasuki oleh pihak tak berwenang. Temuan vpnMentor disebut sebagai bagian dari proses trade information sharing.

“1,3 juta (data) itu tidak bocor ya, itu hanya proof on concept bahwa teman-teman di vpnMentor menemukan celah yang orang bisa mengambil data tersebut,” kata Juru Bicara BSSN Anton Setiyawan dalam konferensi pers daring pada Rabu, 1 September 2021.

Saat dihubungi pada Selasa, 7 September 2021, Markas Besar Polisi Republik Indonesia pun sudah menghentikan penyelidikan dugaan kebocoran data eHAC. Alasannya, karena Siber Polri tidak menemukan upaya pengambilan data pada server e-HAC.

Terlepas dari temuan tiga lembaga yang berwenang itu, vpnMentor dalam publikasinya menyebut rekaman data eHAC yang terbuka secara luas berpotensi memudahkan peretas mengakses aplikasi itu secara langsung dan mengubah data penumpang, termasuk hasil tes Covid-19. “Karena alasan etis, kami tidak menguji teori kami, tapi investigasi kami menunjukkan bahwa itu mungkin terjadi,” tulis vpnMentor.

Selain dapat diakses peretas, kebocoran data eHAC itu juga dapat memudahkan peretas menyerang aplikasi itu dengan virus atau malware. Pihak tak bertanggung jawab dapat pula memanfaatkan data yang terpajang secara terbuka itu untuk penipuan.

Bukan sekali ini saja kebocoran data yang dikelola negara terjadi di Indonesia. Tempo mencatat dalam kurun waktu 2020 hingga 2021 ada dua kasus serupa sebelum eHAC. Pertama, kebocoran 2,3 juta data daftar pemilih tetap (DPT) Pemilu 2014 milik Komisi Pemilihan Umum (KPU) pada Mei 2020. Selanjutnya kebocoran 279 juta data penduduk Indonesia peserta BPJS Kesehatan pada Mei 2021.

Selain itu, kebocoran data juga terjadi pada aplikasi atau situs yang dikelola oleh pihak swasta. Di Indonesia, Tempo mencatat ada 6 kasus kebocoran data yang dikelola swasta di Indonesia sepanjang tahun 2020 hingga 2021. Jumlah data bocor terbanyak terjadi pada kasus kebocoran 97 juta data pengguna Tokopedia pada Mei 2020.

Dalam tulisannya di The Conversation, pengajar Departemen Ilmu Komunikasi Universitas Gadjah Mada, Novi Kurnia menyebut bahwa konsep keamanan siber mengenal dua jenis data berharga, yakni identitas digital dan data pribadi. 

Identitas digital adalah identitas pengguna platform digital. Terdiri dari identitas yang tampak, antara lain nama akun, deskripsi, dan foto profil, serta yang tak tampak seperti kata sandi dan kode One Time Password (OTP).

Sedangkan data pribadi adalah informasi yang digunakan untuk mengenali seseorang. Ada dua jenis data pribadi, pertama yang bersifat umum seperti nama, tanggal lahir, alamat rumah, email, dan nomor telepon. Kedua yang bersifat khusus seperti data kesehatan, biometrik, informasi keuangan, preferensi seksual, pandangan politik, hingga data kriminalitas.

Kebocoran identitas digital dan data pribadi tentu membahayakan si empunya data karena bocoran data yang kerap dijual di Dark Web itu dapat dimanfaatkan pihak tak bertanggung jawab. Novi menyebut ada sejumlah potensi risiko kejahatan siber dari kebocoran data. Antara lain pembobolan rekening keuangan, penyalahgunaan data pribadi berbentuk penipuan pinjaman online (pinjol) ilegal, pemerasan daring, serta pemetaan profil pemilik data untuk keperluan iklan di media sosial.

Kebocoran data juga dapat dimanfaatkan untuk pemetaan tentang keperluan politik. Novi mencontohkan skandal Cambridge Analytica. Perusahaan konsultan politik itu terbukti menyalahgunakan 87 juta data pengguna Facebook dalam rangka mendukung kampanye Donald Trump pada Pemilihan Presiden Amerika Serikat (AS) pada 2016.

Terbaru, muncul modus penipuan pharming, atau menyamarkan situs palsu seolah-olah sebagai situs resmi, dalam kasus ini situs surveilans kesehatan buatan pemerintah PeduliLindungi. Beredar situs pedulilindungia.com yang berkedok sebagai situs resmi PeduliLindungi, padahal situs resmi yang asli adalah pedulilindungi.id.

Dari sebaran pesan yang didapat Tempo di Whatsapp, terdapat gambar yang menunjukkan bahwa geolokasi IP situs pedulilindungia.com—saat dilacak melalui situs domainbigdata.com— berasal dari California, AS. Padahal geolokasi situs pedulilindungi.id terletak di Jakarta, Indonesia. Ketika Tempo memverifikasi gambar itu dengan melacak sendiri alamat dan geolokasi IP situs pedulilindungia.com di DomainBigData, situs itu sudah lenyap.

Menurut Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika, Semuel A. Pangerapan, jika korban membuka situs palsu itu, maka entri domain name system yang diklik korban akan tersimpan dalam bentuk cache.

“Sehingga dapat memudahkan pelaku untuk mengakses perangkat pelaku secara illegal. Contohnya, pembuatan domain seolah-olah mirip dengan asal institusi dari yang aslinya. Pelaku akan menaruh atau memasang malware supaya nantinya bisa mengaksesnya secara ilegal,” ujar Semuel pada Agustus lalu, dilansir dari situs Kemenkominfo. 

Semuel melanjutkan, “Kasus seperti ini banyak terjadi, umpamanya ada yang Whatsapp-nya disadap atau diambil alih karena ponsel sudah dipasangkan malware oleh pelaku sehingga data-data pribadinya dicuri.” 

Kominfo sudah mengklarifikasi bahwa situs pedulilindungia.com adalah situs palsu dan bukan situs pemerintah dalam penanganan Covid-19. Juru Bicara Kominfo, Dedy Permadi berkata bahwa Kominfo sudah mengambil langkah terhadap keberadaan situs abal-abal itu.

“Kementerian Kominfo telah memutus akses terhadap situs pedulindungia.com yang menggunakan atribut logo, gambar, dan tampilan menyerupai situs pedulilindungi.id,” kata Dedy dalam siaran pers, Kamis, 9 September 2021.

Rentan Diserang

Tidak hanya kemudahan mendapatkan data pribadi, Teguh menulis bahwa membobol situs pemerintah pun sama mudahnya. Jika ingin menyerang secara acak, hanya butuh waktu tak lebih dari 1 menit. Sedangkan jika ingin lebih terukur, maka peretas cukup memerlukan waktu kurang dari 1 hari untuk menemukan celah situs pemerintahan.

Dalam artikelnya, ia memberi tautan ke laman zone-h.org untuk menunjukkan pada pembaca intensitas serangan pada situs-situs pemerintah—domain go.id. Zone-H adalah situs yang dibuat pada 2002 untuk mengarsipkan kejahatan siber. Ketika tulisannya dimuat pada 17 April 2021, ia mencatat bahwa ada 32.940 kali situs-situs pemerintah mengalami vandalisme dan situs lembaga kepolisian—domain atau subdomain polri.go.id—diserang defacer 262 kali.

Tempo kemudian memeriksa pernyataan Teguh itu. Per 9 September 2021 pukul 20.00 WIB, Zone-H mencatat serangan ke situs-situs pemerintahan mencapai 33.872 kasus. Artinya, dalam kurun waktu hampir 5 bulan terdapat lebih dari 930 serangan tambahan ke ratusan situs pemerintah. Masih pada rentang waktu yang sama, pencarian dengan kata kunci polri.go.id menunjukkan bahwa ada 4 defacement tambahan ke sejumlah situs kepolisian.

Data Pusat Operasi Keamanan Siber Nasional (Pusopskamsinas) BSSN juga mendukung pernyataan Teguh. Di tahun 2019, Pusopskamsinas mencatatkan jumlah aduan siber pada 2019 mencapai 4.224 kasus, sedangkan tahun lalu terdapat 1.293 kasus. Meski ada tren penurunan, tapi dalam dua tahun terakhir mayoritas laporan berasal dari sektor pemerintah.

Pada tahun 2019, laporan dari sektor pemerintah mencapai 52 persen dari keseluruhan laporan. Sedangkan pada 2020, ada 51 persen aduan siber dari sektor pemerintah. Menurut Teguh, pemerintah selalu menyangkal ada kerapuhan dalam sistem keamanan siber mereka.

Secara global, keamanan siber Indonesia memang bukan salah satu yang terbaik. Pada Maret 2021, situs penyedia informasi keamanan dan perlindungan privasi siber, Comparitech menempatkan Indonesia peringkat ke-18 dari 75 negara paling rentan terhadap kejahatan siber. Penentuan ranking itu berdasarkan pada persentase kejadian serangan siber di suatu negara serta kesiapan negara itu dalam menghadapi kejahatan siber.

Sedangkan situs bestvpn.org menempatkan Indonesia pada peringkat 56 dari 110 negara dalam indeks privasi internet. Situs itu memberi Indonesia skor 39,9. Penilaian itu didapat menggunakan 5 indikator dalam menilai keamanan privasi internet di suatu negara, yakni kebebasan pers, aturan privasi data, statistik demokrasi, kebebasan berekspresi dan berpendapat, dan peraturan kejahatan siber. Norwegia menempati peringkat pertama dengan skor 90,1, sedangkan peringkat terendah ditempati Cina dengan skor 13,1. 

Ragam Cara Atasi Ancaman Siber

Konferensi PBB mengenai Perdagangan dan Pembangunan (UNCTAD) mencatat bahwa Indonesia sesungguhnya telah memiliki aturan tentang kejahatan siber, yakni UU ITE. Namun Institute for Criminal Justice and Reform (ICJR) menyebut bahwa dalam rumusan dan penerapannya, undang-undang itu justru digunakan untuk menjerat banyak kebebasan berekspresi dan berpendapat yang sah.

“Tindak pidana yang diatur dalam UU ITE justru berfokus pada pelarangan konten yang pada dasarnya cyber-enabled crimes, bukan pengaturan kekhasan ranah siber yang harus diperkuat,” tulis Direktur Eksekutif ICJR, Erasmus A. Napitupulu dalam kata pengantar laporan penelitian Mengatur Ulang Kebijakan Tindak Pidana di Ruang Siber, yang terbit pada Maret 2021.

Dugaan kebocoran data eHAC ikut berperan membuat wacana pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) muncul kembali. Ketua Dewan Perwakilan Rakyat, Puan Maharani pun mendesak pemerintah untuk kembali segera menyelesaikan penyusunannya.

“Maka kami juga mengharapkan keseriusan pemerintah dalam proses pembahasan RUU PDP agar bisa segera disahkan sebagai jaminan perlindungan terhadap data-data milik rakyat,” kata Puan dalam keterangannya, Rabu, 1 September 2021. 

Pembahasan rancangan ini mengalami jalan buntu pada awal Juli lalu karena panitia kerja (panja) DPR dan pemerintah tidak menemui titik temu dalam pembentukan lembaga independen. Panja DPR menginginkan pembentukan lembaga pengawas independen sedangkan pemerintah menginginkan agar lembaga independen itu di bawah Kementerian Kominfo.

Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam), Wahyudi Djafar mengatakan bahwa otoritas perlindungan data pribadi akan jadi masalah jika ditempatkan di bawah Kominfo. Sebabnya, rancangan ini nantinya tidak hanya mengikat lembaga swasta, tapi juga sektor pemerintahan.

“Misalnya terjadi kebocoran data atau penyalahgunaan data pribadi yang dilakukan kementerian tertentu, pertanyaan sederhananya kan apakah mungkin Kominfo memberikan sanksi terhadap kementerian itu karena levelnya sama-sama kementerian,” kata Wahyudi kepada Tempo pada 23 Mei lalu.

Selain penegakan regulasi, proses pengamanan siber sebetulnya dapat memanfaatkan program bug bounty. Peretas topi putih diminta untuk menunjukkan celah-celah keamanan situs atau aplikasi yang dapat ditembus pihak tak bertanggung jawab. 

Bug bounty mencegah hal-hal buruk terjadi akibat celah keamanan,” kata Teguh. Sebagai balasannya, mereka akan mendapat hadiah yang sepadan atas usaha mereka. Menurut Teguh, perusahaan besar seperti Facebook dan Google sudah melakukan hal itu.

Situs hackerone.com mengarsipkan kegiatan bug bounty yang dilakukan para peretas topi putih bekerja sama dengan sejumlah situs atau aplikasi. Saat Tempo membuka situs itu, para peretas topi putih mendapat hadiah uang berkisar dari 50 hingga 50 ribu dolar AS sebagai balasan atas pekerjaan mereka. Besar kecil nilai hadiah ditentukan oleh seberapa penting celah yang mereka temukan.

Tak hanya pihak swasta, pihak pemerintah juga dapat melakukan hal serupa. Pada 2016, Departemen Pertahanan AS meluncurkan program “Hack the Pentagon”. Pentagon mengundang para peretas topi putih untuk mencari celah pada situs Pentagon. Ini merupakan program bug bounty pertama yang diinisiasi oleh Pemerintah AS.

Teguh sudah enggan untuk melakukan hal serupa pada situs atau aplikasi Pemerintah Indonesia. Ia berkaca pada pengalaman AA, seorang peretas topi putih yang justru dilaporkan ke polisi oleh KPU karena menemukan celah di situs milik komisi itu. 

Teguh bercerita bahwa awalnya AA melaporkan temuan itu ke BSSN, dan mendapat balasan ucapan terima kasih. Ketika BSSN mengkonfirmasi bahwa celah itu telah diperbaiki, ia pun mencoba memeriksanya. Yang terjadi selanjutnya adalah KPU melaporkannya ke polisi karena menganggap AA melakukan akses secara ilegal. Biang kerok kasus itu menurut Teguh adalah, “buruknya koordinasi antara BSSN dan KPU.”

Selain itu, Teguh menyebut kegiatan bug bounty pada infrastruktur teknologi pemerintah sebagai hal yang “tidak ada untungnya”.

“Teman saya ngelaporin (celah) PeduliLindungi kemarin (ke Kominfo), cuma dikasih 2M,” ujar Teguh. Dua M yang dimaksud Teguh bukanlah uang Rp 2 miliar, melainkan ucapan “Makasih, Mas.”

CREDIT

Penulis

Editor

Multimedia