Ahli TI Ungkap Celah-celah Kebocoran Data 1,3 Juta Pegawai Kemendikbud

img

Kementerian Pendidikan dan Kebudayaan (Kemendikbud) membantah telah terjadi kebocoran data 1,3 juta pegawainya. Meski demikian, para ahli teknologi informasi (TI) mengungkap ada sejumlah kejanggalan pada kasus tersebut.

Peneliti keamanan siber Communication Information System Security Research Center (CISSReC) Pratama Persadha mengatakan pencurian data tersebut mungkin saja terjadi.

“Dari sisi situs dan sistem data kementerian kemungkinan ada kelemahan yang membuat peretas bisa masuk dengan mudah ke sistem tersebut. Salah satunya melalui serangan dengan SQL Injection,” kata Pratama, Kamis (28/5).

Berdasarkan temuan akun Twitter @secgron milik pendiri komunitas Ethical Hacker Indonesia, Teguh Aprianto, jutaan data Kemendikbud dicuri oleh peretas, dan data-data ini dibagikan di situs berbagi data bocoran (leaks), raidforums.com, sejak 2019.

Adapun data yang bocor, menurut temuan @secgron, di antaranya berupa nomor induk kependudukan (NIK), nama lengkap, tempat dan tanggal lahir, status pernikahan, nama lengkap ibu dan ayah, nomor Kartu Keluarga (KK) hingga alamat lengkap.

Menurut Pratama kebocoran data itu juga dapat terjadi karena faktor kesalahan sumber daya manusia (SDM). “Misalnya, ada admin yang mengakses sistem dari jaringan dan perangkat yang tidak aman, sehingga ada orang lain yang merekam username password dan melakukan pengumpulan data,” ujar dia.

Selain itu ancaman lainnya juga bisa melalui phising dan wifi sniffing, Kata phising merupakan bahasa slang fishing yang artinya memancing. Lewat teknik “memancing” inilah peretas bisa menjebak pengguna internet untuk memberikan data-data penting. Sedangkan, wifi sniffing adalah penyadapan sinyal wifi untuk mengetahui aktivitas pengguna internet.

Pratama mengatakan, Indonesia sendiri masih dianggap rawan peretasan karena tingkat kesadaran keamanan siber masih rendah. Oleh karena itu, penguatan sistem dan SDM harus ditingkatkan. “Pengadopsian teknologi seperti enkripsi untuk pengamanan data juga perlu dilakukan,” ujar dia.

Selain itu, menurut dia Kemendikbud juga wajib bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) untuk melakukan audit digital forensik dan mencari ‘lubang-lubang’ keamanan, untuk menghindari pencurian data lebih lanjut.

Senada, spesialis keamanan teknologi Vaksincom, Alfons Tanujaya, mengatakan bahwa Kemendikbud perlu memastikan dari mana sumber kebocoran data tersebut terlebih dahulu. Sebab, menurut dia, meskipun bukan dari kementerian namun apabila data yang bocor berhubungan dengan instansi harusnya mereka juga prihatin dengan hal ini.

“Jadi kalau memang bukan dari Kemendikbud bocornya, tetapi data itu berhubungan dengan kementerian harusnya mereka juga proaktif berkoordinasi dengan pihak terkait untuk mencari sumber kebocoran data dan memitigasi bagaimana supaya bisa mellindungi data jajarannya lebih baik di kemudian hari,” kata Alfons.

Dia menjelaskan, tujuan proteksi data itu bukan hanya supaya data kementerian tidak bocor, melainkan bagaimana instansi tersebut bisa melindungi data yang menjadi tangung jawab mereka. “Selain itu, (tujuan proteksi data) adalah bagaimana kementerian tidak dirugikan oleh eksploitasi data tersebut,” ujar dia.

Sementara itu, peneliti keamanan siber Indonesia ICT Institute, Heru Sutadi, mengatakan bahwa kementerian pun sebaiknya melakukan penyelidikan lebih lanjut bukannya malah langsung membantah adanya kebocoran data tersebut.

“Karena kalau di basis data Kemendikbud, kita cari informasi tentang anak-anak kita, maka akan diketahui di mana sekolah mereka, kuliah semester berapa, nomor mahasiswa dan sebagainya,” ujar Heru.

Menurut dia Indonesia memang rawan kebocoran data, baik secara tidak sengaja ataupun melalui peretasan. “(Kasus kebocoran data Kemendikbud) ini pun seharusnya menjadi PR (pekerjaan rumah) Menteri Kominfo dan BSSN, sebab keamanan informasi Indonesia lemah,” ujar dia.

Apalagi, Kementerian Kominfo disebut memiliki 10 ribu ‘tentara siber’ alias penjaga keamanan informasi yang menurut pihak mereka adalah ‘Born to Control’ alias dilahirkan untuk mengendalikan siber nasional.

sumber:itworks