Aplikasi Konferensi Video Jokowi Rawan Peretasan

img

Aplikasi besutan Telkomsel, CloudX yang diklaim buatan dalam negeri, dan menjadi aplikasi resmi yang digunakan dalam rapat kabinet juga instansi pemerintahan diragukan keamanannya, Hal ini menjadi laporan khusus Majalah Gatra Edisi 29 tanggal 27 Mei.

Sejak 20 April lalu, Menteri Sekretaris Kabinet Pramono Anung menyampakain kepada Presiden jika CloudX menjadi aplikasi yang dipakai di dalam rapat kabinet. Selain buatan dalam negeri, aplikasi ini juga diyakini aman dipakai. Namun, klaim ini belakangan diragukan kebenarannya.

Majalah Gatra melaporkan, seorang sumber menyebut, aplikasi CloudX sebenarnya juga menggunakan perangkat lunak milik Zoom. Ia menemukan, jeroan peranti lunak CloudX menggunakan package com.zipow, semacam identitas milik Zoom.

Aktivitas aplikasi ini juga memakai komponen com.metaswitch, aplikasi milik perusahaan layanan komunikasi Metaswitch, yang tidak lain bagian dari perusahaan Zoom. Ini menjadikan CloudX hanyalah perusahaan pemakai jasa layanan pihak ketiga. Pemakaian CloudX pun punya risiko yang sama dengan penggunaan Zoom.

"Penggunaan komponen asing atau library atau service dalam sebuah software sangat berisiko, karena di dalam komponen asing, bisa saja terdapat Trojan yang sengaja diletakkan untuk kepentingan tertentu," kata sang sumber.

Potensi kebocoran data juga makin besar. Sang sumber menyelisik lebih jauh dan menemukan bahwa CloudX ternyata tidak menggunakan server dalam negeri. "Jika kita telusuri komunikasi data CloudX, terlihat bahwa CloudX berkomunikasi dengan dua server dengan IP address yang berlokasi tidak di Indonesia," ujarnya.

Temuan adanya potensi kebocoran data ini juga dibenarkan pakar keamanan siber, Pratama Persadha, dari Lembaga Riset Keamanan Siber dan Komunikasi (CISSReC). Ia juga menemukan hal yang sama pada CloudX. "Bila dicek, memang CloudX ini masih menggunakan metaswitch pihak ketiga. Jadi, ya bukan 100% develop Telkomsel dari nol," katanya.

Pratama juga punya keyakinan adanya kemungkinan kebocoran data bila memang Telkomsel benar-benar menggunakan komponen milik Zoom untuk dipakai pejabat negara.

"Yang jadi masalah, ada di mana letak servernya? Apakah di Tanah Air atau tidak? Ini menjadi hal yang cukup sensitif, karena CloudX digunakan untuk rapat-rapat jarak jauh di ring satu Istana, sehingga bila data dan rekaman rapat disimpan di cloud, jelas kita juga perlu tahu di mana servernya. Server Zoom sendiri ada di luar Indonesia. Apakah kita bisa bergerak bila terjadi sesuatu hal yang tidak diinginkan?" tuturnya.

Pratama juga mengungkapkan, terkait keamanan memang tidak hanya persoalan CloudX ini bagian dari Zoom atau tidak. Letak server berpengaruh dan sejauh mana enkripsi dilakukan. Apakah memakai teknologi end to end encryption (E2E) atau tidak.

Lalu, apakah E2E tersebut memakai enkripsi yang benar-benar teruji, misalnya AES256? Apakah mendukung multi-factor authentication (MFA)? Apakah user bisa mengelola dan menghapus data di sisi client serta server? Hal-hal pengamanan data semacam ini yang patut mendapat perhatian besar.

Oleh karena itu, perlu dilakukan pengecekan lebih mendalam kepada CloudX. "Dalam hal ini, sebaiknya BSSN bisa membantu melakukan pengecekan yang lebih mendalam lagi. Apakah CloudX ini cukup aman untuk dipakai atau tidak, sebelum merekomendasikannya menjadi platform video conference yang digunakan oleh Presiden," ujarnya.

Sementara itu, menanggapi temuan itu, General Manager External Corporate Communications Telkomsel, Aldin Hisyam, menegaskan bahwa pengembangan sebuah perangkat lunak tak mungkin mengesampingkan pihak lain.

"Karena di era digital sekarang, lazim untuk melakukan interoperability. Sebuah perusahaan dalam membuat produknya tidak akan bisa mengembangkan semua komponen produk atau layanan itu sendiri. Alasannya, karena waktu yang lama, investasi yang besar, dan resources yang terbatas," ungkapnya.

Ia juga menegaskan, walaupun ada kerja sama dengan pihak lain, CloudX adalah hasil kerja sendiri. "CloudX adalah produk Telkomsel. Titik!" Aldin pun menjami keamanan CloudX. "Server CloudX itu ada di Indonesia," ucap Aldin. 

sumber:gatra