Situs Pemerintah Mudah Diretas, Data Warga Dijual Bebas
Peretas mengincar kelemahan situs-situs pemerintah. Mereka tidak hanya mengubah penampilan situs, tetapi juga mengambil data untuk diperdagangkan di internet.
Oleh
Insan Alfajri / Dhanang David Aritonang / Irene Sarwindaningrum / Andy Riza Hidayat
·5 menit baca
JAKARTA, KOMPAS — Pada Mei 2021, di sebuah forum peretas, Raidforums.com, akun dengan nama Kotz mengklaim memiliki lebih dari 270 juta data pribadi warga Indonesia yang berasal dari Badan Penyelenggara Jaminan Sosial Kesehatan. Di forum itu, Kotz menjual lebih dari 270 juta data itu seharga 0,35 bitcoin atau sekitar Rp 297.850.000 berdasarkan kurs pada Kamis (28/10/2021) pukul 15.08 di Indodax.com.
Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan masih membantah data yang dijual di Raidforums berasal dari instansinya. Sementara Polri belum dapat memastikan siapa pelaku pembobolan dan penjualan data tersebut.
Untuk memastikan apakah benar data yang diperjualbelikan di Raidforums.com tersebut data BPJS atau bukan, tim investigasi Kompas menghubungi Kotz dan menelusuri validitas data yang dijual dengan mengirim dua nomor induk kependudukan (NIK). Dari data NIK itu, Kotz merespons dengan memberikan data kependudukan (nama lengkap, alamat, agama, tanggal lahir, golongan darah), gaji selama tiga tahun (2017-2019), dan nomor kartu BPJS Kesehatan (noka). Noka yang diberikan Kotz pun identik dengan nomor yang tertera pada kartu BPJS Kesehatan pemilik NIK.
Sementara itu, dari penilaian kerentanan dan penelusuran terhadap aktivitas para peretas di Indonesia, terungkap betapa mudahnya meretas situs-situs pemerintah. Beberapa hari lalu, subdomain situs Badan Siber dan Sandi Negara (BSSN) mengalami peretasan berupa perubahan muka (defacement).
Seorang peretas yang Kompas temui di salah satu kota di Jawa Timur, Rabu (29/9/2021), sempat menunjukkan betapa mudahnya dia menguasai salah satu situs pemerintah kabupaten. Saat diminta menunjukkan kemampuannya, dia tidak butuh waktu lama. Setelah menyiapkan laptop di meja, sejenak dia mengamati situs web sasaran, lalu beberapa saat kemudian mengetik sesuatu.
Sepintas, terlihat masih ada tahapan lagi yang akan dia tunjukkan. Ternyata tidak, peretasan sudah selesai kurang dari 20 detik. ”Sudah. Kami sudah masuk ke sistem mereka. Saya tidak pakai teknik rumit karena saya sudah terbiasa meretas website pemerintah. Kami sampai hafal kelemahannya di mana,” kata peretas berinisial Z tersebut.
Tidak cukup menemui Z, tim mengecek langsung pengelolaan situs-situs pemerintah yang pernah menjadi sasaran peretasan periode September-Oktober 2021 di wilayah Jakarta, Jawa Barat, dan Jawa Timur.
Pengelola dan anggaran
Di Dinas Kependudukan dan Pencatatan Sipil (Disdukcapil) Kota Bogor, Jawa Barat, tim bertemu satu-satunya petugas administrator basis data di lembaga itu, Sabur Yusnandar. Tugas Sabur mengamankan perangkat digital meski dia tak punya latar belakang pendidikan sistem elektronik dan teknologi informasi (TI).
Lulusan SLTA ini ikut merancang aplikasi layanan daring bernama Si Kancil Berlari yang kemudian jebol di tangan peretas, Mei 2021. Dia menduga peretas masuk melalui salah satu plugin atau program tambahan di aplikasi yang didapat secara gratis. ”Setelah kejadian ini, kami membuat struktur baru untuk Si Kancil Berlari, kami ubah total,” kata Sabur.
Di Bandung, tim TI Dinas Kesehatan (Dinkes) Provinsi Jawa Barat mengalami serangan siber dua hari berturut-turut, 20-21 Juli 2021. Tim tidak dapat berbuat banyak dan tidak tahu harus melakukan apa. Situs sempat mereka pulihkan, tetapi kembali diretas esok harinya. ”Kami langsung koordinasi dengan Dinas Komunikasi dan Informasi,” kata Aris Munandar, anggota tim TI Dinkes Jabar.
Penelusuran juga menemukan fakta bahwa pengelola sistem elektronik pemerintah di daerah minim pendanaan. Akibatnya, pengamanan siber banyak mengandalkan perangkat lunak (software) tanpa pembaruan (update), software gratisan, alat pinjaman, ataupun aplikasi dan program buatan mereka sendiri.
Di Jawa Timur, Kepala Bidang Infrastruktur Teknologi Informasi dan Komunikasi Dinas Informasi dan Komunikasi Kabupaten Malang Tri Darmawan Sambodho mengatakan, dirinya menggunakan firewall (sistem keamanan komputer) pinjaman dari distributor sebelum nantinya mereka bisa membeli sendiri. Saat ini, anggaran untuk pengelolaan layanan elektronik di bidangnya terbatas. ”Sementara kami hanya pakai script (kode perintah) untuk router (perangkat keras untuk menghubungkan beberapa jaringan),” katanya.
Keberadaan firewall penting bagi layanan elektronik Dinas Infokom Kabupaten Malang karena mereka harus mengamankan sekitar 700 situs. Ini terdiri dari 378 situs desa, 12 situs kelurahan, 33 situs kecamatan, serta aplikasi milik organisasi perangkat daerah.
Aspek teknis
Temuan itu memperkuat hasil penilaian kerentanan yang dilakukan Kompas bekerja sama dengan konsultan keamanan siber terhadap 30 situs pemerintah di level kabupaten/kota, provinsi, dan pusat. Mereka terdiri dari 4 situs Komisi Pemilihan Umum kabupaten/kota, 3 situs pengadilan negeri, 4 situs Dewan Perwakilan Rakyat Daerah kabupaten/kota, 4 situs badan di tingkat pusat, 5 situs pemerintah kabupaten/kota, 5 situs pemerintah provinsi, dan 5 situs kementerian.
Dari hasil penilaian kerentanan terhadap 30 situs pemerintah itu, hanya tiga situs yang tak terdeteksi kerentanannya. Adapun 27 situs mempunyai kerentanan dengan beragam tingkat sekaligus, mulai dari kritis, tinggi, medium, hingga rendah.
Rinciannya, 9 situs mempunyai kerentanan kritis, yaitu 1 situs pemerintah pusat, 6 situs di tingkat kabupaten/kota, dan 2 situs provinsi. Pada situs-situs ini, peretas tidak membutuhkan teknik yang rumit untuk meretas, cukup melalui basis data CVE (common vulnerabilities and exposures).
Sebanyak 26 situs memiliki kerentanan tinggi, yaitu 6 situs pemerintah pusat, 7 situs provinsi, dan 13 situs kabupaten/kota hingga pusat. Ini salah satunya ditandai dengan enkripsi kurang kuat antara browser pengguna dan server web. Akibatnya, peretas bisa dengan mudah mencuri informasi pengguna.
Penelusuran juga menunjukkan, 27 situs memiliki kerentanan sedang, yaitu 7 situs pemerintah pusat, 7 situs provinsi, dan 13 situs kabupaten/kota. Salah satu indikasinya adalah adanya kesalahan pada modul yang memberi celah penggunaan memori berlebihan. Hal ini membuat aktivitas mencurigakan tak terdeteksi.
Secara umum, kerentanan terjadi karena tidak adanya pembaruan di server web atau masih menggunakan server web versi lama. Ini membuka celah bagi penyerang jarak jauh yang tidak diotentifikasi masuk ke jaringan.
Menurut Ruby Alamsyah, pendiri Digital Forensic Indonesia, semakin kritis tingkat kerentanan sebuah situs dan semakin banyak kerentanannya, semakin mudah situs tersebut dibobol peretas.