Baca tanpa iklan
Laporan Reporter: Ahmad Febrian
'
TRIBUNNEWS.COM, JAKARTA - Kabar data pribadi nasabah perusahaan di Indonesia bocor dan diperjual-belikan kembali menyeruak. Kabar itu datang dari Bank Jatim setelah sebelumnya kasus yang sama menimpa aplikasi e-HAC dan BRI Life dan instusi lain.
Menurut pakar keamanan siber Pratama Persadha pihaknya sudah mengecek dugaan kebocoran tersebut di raidforum.
Ada indikasi database Bank Jatim dijual oleh akun dengan username bl4ckt0r dengan harga US$ 250.000.
Jika dirupiahkan dengan kurs Rp 14.100 per dollar Amerika Serikat (AS) jumlah itu setara Rp 3,52 miliar. Pelaku menyebutkan, data sebesar 378GB berisi 259 database.
Beserta data sensitif seperti data nasabah, data karyawan, data keuangan pribadi, dan masih banyak lagi.
Pratama menyarankan forensik digital untuk mengetahui celah keamanan mana yang dipakai untuk menerobos.
“Apakah dari sisi SQL (Structured Query Language) sehingga diekspos SQL Injection atau ada celah keamanan lain," kata pria asal Cepu, JawabTengah ini, dalam penjelasan tertulis ke Kontan.co.id, Jumat (22/10/2021).
Saat bersamaan, diduga database milik Komisi Perlindungan Anak Indonesia juga dijual akun bernama C77.
Data tersebut diduga berisi database pelaporan masyarakat dari seluruh Indonesia dari tahun 2016 sampai sekarang.
“Dua database yang diberikan, yakni berukuran 13MB dengan nama file kpai_pengaduan_csv dan 25MB dengan nama kpai_pengaduan2_csv,” terang Pratama yang juga chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center) tersebut.
Baca juga: Database KPAI dan Bank Jatim Diduga Bocor, Pakar Keamanan Siber Sebut Sudah Dijual di RaidForums
Bahkan diduga ada list data identitas korban yang masih dibawah umur. Data ini sangat berbahaya, karena predator daring bisa menargetkan data - data yang ada di sini..
Indonesia masih dianggap rawan peretasan karena kesadaran keamanan siber masih rendah. Dan sudah berkali-kali terjadi kebocoran data.
Baca juga: Waduh, Data Layanan Pengaduan KPAI Diretas, Sudah Lapor ke Bareskrim Polri dan BSSN
Seharusnya Pemerintah dan DPR bisa sepakat untuk menggolkan UU Perlindungan Data Prbadi (PDP).
‘Tanpa UU PDP yang kuat, para pengelola data pribadi baik lembaga negara maupun swasta tidak akan bisa dimintai pertanggungjawaban lebih jauh dan tidak akan bisa memaksa mereka untuk meningkatkan teknologi, SDM dan keamanan sistem informasi,” jelas Pratama.
Kasus Kebocoran Data di Apps eHAC
Sebelumnya, data para pengguna aplikasi kesehatan e-HAC (electronic Health Alert Card) sebanyak 1 juta lebih yang dikelola Kementerian Kesehatan RI juga diduga bocor.
Hal ini mengakibatkan data-data pribadi pengguna terekspos dari server.
Data-data pribadi yang terekspos tersebut antara lain mencakup nama lengkap, tanggal lahir, pekerjaan, foto pribadi, nomor induk kependudukan, nomor pasport, hasil tes Covid-19, identitas rumah sakit, alamat, nomor telepon serta beberapa data lainnya.
Baca juga: Data Pengguna eHAC Bocor, Indonesia Butuh UU Perlindungan Data Pribadi
ITSEC Asia, salah satu perusahaan penyedia layanan keamanan informasi terbesar di Asia Pasifik menilai, penting bagi seluruh pemilik dan pengembang aplikasi maupun website untuk memiliki standar tinggi keamanan data teknologi informasi (IT).
Hal itu untuk menutup celah keamanan yang dapat dieksploitasi oleh pihak-pihak yang tidak bertanggung jawab.
Presiden Direktur PT ITSEC Asia Andri Hutama Putra, menjelaskan, masyarakat terutama pengguna akun e-HAC perlu mengantisipasi potensi penyalahgunaan data pribadi mereka akibat dari kebocoran data ini.
Aplikasi eHAC Indonesia di Google Play Store. (Tribunnews/fin)
“Akibat dari data pribadi yang tersebar, kita perlu waspada terhadap berbagai penyalahgunaan seperti penipuan melalui berbagai media seperti email, SMS, whatsapp dan telepon," ujar Andri, Jumat (3/9/2021).
Waspadai penjualan data
Dia juga menekankan, penting bagi masyarakat agar mewaspadai aktivitas penjualan data untuk kepentingan marketing yang menyebabkan ketidaknyamanan, dan berbagai penyalahgunaan data informasi untuk berbagai kepentingan beragam.
Andri Hutama Putra membagikan beberapa tips dalam menjaga keamanan data pribadi yang dapat diaplikasikan dengan mudah oleh seluruh masyarakat.
Pertama, bijaklah dalam menerima informasi, tidak mudah meng-iyakan informasi via telepon atau pesan yang masuk.
Meskipun dia sudah memiliki dan mengetahui data kita termasuk rekam medis atau kesehatan, tidak menjadi jaminan hal tersebut bukan merupakan penipuan, selalu lakukan verifikasi.
Misalnya, pembuatan kartu kredit, penawaran promo, atau asuransi. Mengganti password email dan PIN untuk akses data dan aplikasi penting secara berkala, maksimal selama 3 bulan.
Kedua, gunakan OTP (One Time Password) ataupun 2FA (Two Factor Authentication)
Hati hati dalam menggunakan e-mail.
Jangan buka email atau tautan yang mencurigakan, dan manfaatkan email secara bijak. Ketiga, uninstall aplikasi yang tidak terpakai. Seeleksi ulang semua aplikasi yang ada di perangkat kita.
Hapuslah aplikasi yang tidak kita pakai, terutama yang sudah tidak aktif atau tidak update.
Mulai mengedukasi keluarga dan teman-teman terkait seberapa penting menjaga data dan bijak dalam bertukar informasi dengan pihak manapun.
Andri menambahkan, pihak-pihak yang memegang data pribadi baik swasta ataupun pemerintah perlu lebih aktif dalam rencana tindakan preventif dan korektif untuk menangani kebocoran data pribadi pada situs atau aplikasi.
“Setiap hari ada 3 sampai 5 celah keamanan baru yang dipublikasikan," ujarnya.
Dengan fakta ini seluruh pemilik dan pengembang aplikasi harus lebih memperhatikan sistem keamanan dengan cara seperti pengujian keamanan (penetration test) secara berkala.
"Tujuannya, untuk meminimalisir celah keamanan baru, meningkatkan kemampuan internal di aspek People, Process & Technology (PPT), dan juga menggandeng perusahaan-perusahaan yang handal dibidang keamanan IT untuk peningkatan keamanan pengamanan situs penting,” jelas Andri Hutama Putra.
Andri juga mengatakan perlu adanya tanggung jawab dari pihak terkait dengan melakukan notifikasi dan edukasi ke pengguna yang terdampak kebocoran datanya.
Hal ini demi membantu masyarakat agar dapat mengantisipasi resiko kerugian yang lebih besar misalnya dengan mengganti password atau PIN.
Masyarakat juga perlu lebih bersikap hati-hati kalau mendapat email sms atau telepon yang bisa disalahgunakan karena datanya yang sudah bocor.
“Diharapkan pemilik aplikasi seharusnya sudah mulai diperketat dari sisi regulasi, sehingga dalam pembuatan dan pengembangan aplikasi dapat disesuaikan dengan undang-undang yang memiliki sanksi tegas," ujarnya.
"Hal ini patut disikapi dengan serius karena ekonomi eigital menjadi penyokong revolusi industri 4.0, dimana banyak hal mengarah ke digital, tetapi kita tetap harus memperhatikan keamanan digital maupun pengguna digital,” imbuh Andri Hutama Putra.
1 juta Pengguna Lebih
Sebelumnya, muncul kabar aplikasi eHAC diduga telah bocor dan tak sengaja mengekspos lebih dari 1 juta data pribadi orang dalam aplikasi tersebut.
Kabar kebocoran data massal di aplikasi eHAC ini mengacu pada laporan artikel yang diterbitkan vpnmentor.com hari Senin (30/8/2021).
Tim peneliti vpnMentor yang dipimpin Noam Rotem dan Ran Locar menemukan pelanggaran data dalam program eHAC Indonesia yang dibuat untuk mengatasi penyebaran pandemi Covid-19 di negara ini.
Aplikasi eHAC atau electronic health alert card adalah aplikasi 'test and trace' bagi orang-orang yang masuk ke Indonesia untuk memastikan mereka tidak membawa virus ke negara tersebut.
Aplikasi ini dibuatpada tahun 2021 oleh Kementerian Kesehatan Indonesia.
Aplikasi ini menjadi persyaratan wajib bagi setiap pelancong yang memasuki Indonesia dari luar negeri, baik warga negara Indonesia maupun orang asing, juga diperlukan untuk penerbangan domestik di Indonesia.
Aplikasi eHAC diunduh ke perangkat seluler penumpang dan menyimpan status kesehatan terbaru mereka, data Personally Identifiable Information (PII), detail kontak, hasil tes Covid-19, dan banyak lagi.
Namun, pengembang aplikasi gagal menerapkan protokol privasi data yang memadai dan membiarkan data lebih dari 1 juta orang terpapar di server terbuka.
Aplikasi eHAC sendiri disebut menyimpan lebih dari 1,4 juta data dari 1,3 juta pengguna eHAC.
Data-data pribadi yang bocor mencakup ID pengguna berupa nomor kartu tanda penduduk (KTP), paspor serta data dari hasil tes Covid-19, alamat, nomor telepon dan nomor peserta rumah sakit, nama lengkap, tanggal lahir, pekerjaan, dan foto.
Para peneliti yang mendapati kebocoran data ini mengaku menemukan data 266 rumah sakit dan klinik di seluruh Indonesia.
Mereka juga menemukan nama orang yang bertanggung jawab untuk menguji setiap pelancong, dokter yang menjalankan tes, informasi tentang berapa banyak tes yang dilakukan tiap hari, dan data tentang jenis pelancong.
Dalam artikel tersebut dijelaskan bahwa vpnMentor bekerja keras menerbitkan laporan yang akurat dan dapat dipercaya untuk memastikan semua orang yang membacanya memahami hal serius ini.
“Beberapa pihak yang terkena dampak menyangkal fakta, mengabaikan penelitian kami atau mengecilkan dampaknya. Jadi, kami harus teliti dan memastikan semua yang kami temukan benar dan akurat,” tulis artikel tersebut.
Dalam hal ini, tim keamanan siber vpnMentor menemukan database yang terbuka sebagai bagian dari upaya yang lebih luas untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.
“Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi," sebut tim keamanan siber vpnMentor.
"Setelah mereka menyelidiki database dan memastikan bahwa catatan tersebut asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami,” lanjutnya.
“Setelah beberapa hari tanpa jawaban dari kementerian, kami menghubungi agensi CERT * Indonesia dan, akhirnya, penyedia hosting Google – eHAC,” sebutnya lagi.
Hingga awal Agustus, vpnMentor menyatakan belum menerima jawaban dari pihak terkait.
Sehingga mereka mencoba menjangkau penyelidikan pemerintah tambahan, salah satunya adalah BSSN (Badan Siber dan Sandi Negara) yang didirikan untuk melakukan kegiatan di bidang keamanan cyber.
Tim Tanggap Darurat Komputer Indonesia (ID-CERT) adalah lembaga pemerintah yang bertanggung jawab untuk menangani insiden keamanan siber di negara Indonesia.
Sebagian besar negara memiliki lembaga serupa untuk menangani kebocoran dan peretasan data lokal.
“Kami menghubungi mereka pada 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server dimatikan,” ujarnya.
Terkait dugaan kebocoran data eHAC ini, Kementerian Kesehatan RI dalam pernyataan resmi pada jumpa pers virtual hari ini, Selasa (31/8/2021) menyatakan, pihaknya meminta kepada para pengguna aplikasi eHAC versi lama agar segera menghapus aplikasi tersebut, karena dari aplikasi lama itulah diduga kebocoran data terjadi.
"Pemerintah meminta untuk segera meng-uninstall, men-delete aplikasi eHAC yang lama dan terpisah," sebut Kapusdatin Kemenkes, Anas Ma'ruf.
Anas menyatakan pihaknya kini melakukan upaya mitigasi dugaan kebocoran data eHAC versi lama. Sebagai bagian dari upaya mitigasi, pihaknya sudah menonaktifkan aplikasi eHAC versi lama.
Dia mengatakan, sebenarnya Pemerintah sudah mulai menggunakan aplikasi Pedulilindungi sejak Juli 2021.
Sementara aplikasi eHAC) sudah termasuk dalam Aplikasi Pedulilindungi.
"Sistem yang ada di eHAC yang lama itu berbeda dengan eHAC yang bergabung dengan pedulilindungi," beber Anas seraya menyebut bahwa server) dan infrastruktur IT pada aplikasi eHAC yang sudah terintegrasi di Pedulilindungi berada di pusat data nasional.
Posisi server ini juga dalam perlindungan Kementerian Komunikasi dan Informatika (Kemenkominfo) dan Badan Siber Sandi Negara (BSSN).
Aplikasi eHAC dikembangkan oleh Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan, dan Pengendalian Penyakit Kemenkes.
Aplikasi ini dibuat untuk menguji dan melacak mereka yang hendak bepergian. Aplikasi ini wajib diunduh bagi orang asing maupun warga negara Indonesia yang bepergian di dalam negeri. Aplikasi ini dibuat Kementerian Kesehatan RI tahun ini.
Sebagian artikel ini tayang di Kontan dengan judul Data nasabah Bank Jatim diduga bocor, dijual Rp 3,52 miliar, ini saran pakar siber