Situs Pemerintah Mudah Diretas, Data Warga Dijual Bebas

Untuk memastikan apakah benar data yang diperjualbelikan di Raidforums.com tersebut data BPJS atau bukan, tim investigasi Kompas menghubungi Kotz dan menelusuri validitas data yang dijual dengan mengirim dua nomor induk kependudukan (NIK). Dari data NIK itu, Kotz merespons dengan memberikan data kependudukan (nama lengkap, alamat, agama, tanggal lahir, golongan darah), gaji selama tiga tahun (2017-2019), dan nomor kartu BPJS Kesehatan (noka). Noka yang diberikan Kotz pun identik dengan nomor yang tertera pada kartu BPJS Kesehatan pemilik NIK.

Sementara itu, dari penilaian kerentanan dan penelusuran terhadap aktivitas para peretas di Indonesia, terungkap betapa mudahnya meretas situs-situs pemerintah. Beberapa hari lalu, subdomain situs Badan Siber dan Sandi Negara (BSSN) mengalami peretasan berupa perubahan muka (defacement).

Seorang peretas yang Kompas temui di salah satu kota di Jawa Timur, Rabu (29/9/2021), sempat menunjukkan betapa mudahnya dia menguasai salah satu situs pemerintah kabupaten. Saat diminta menunjukkan kemampuannya, dia tidak butuh waktu lama. Setelah menyiapkan laptop di meja, sejenak dia mengamati situs web sasaran, lalu beberapa saat kemudian mengetik sesuatu.

Sepintas, terlihat masih ada tahapan lagi yang akan dia tunjukkan. Ternyata tidak, peretasan sudah selesai kurang dari 20 detik. ”Sudah. Kami sudah masuk ke sistem mereka. Saya tidak pakai  teknik rumit karena saya sudah terbiasa meretas website pemerintah. Kami sampai hafal kelemahannya di mana,” kata peretas berinisial Z tersebut.

Baca juga:

• Peretas Mengobral Data Warga
• Serangan Siber pada Hari Libur
• Beda Situs, Beda Standar Keamanannya

Tidak cukup menemui Z, tim mengecek langsung pengelolaan situs-situs pemerintah yang pernah menjadi sasaran peretasan periode September-Oktober 2021 di wilayah Jakarta, Jawa Barat, dan Jawa Timur.

Pengelola dan anggaran

Di Dinas Kependudukan dan Pencatatan Sipil (Disdukcapil) Kota Bogor, Jawa Barat, tim bertemu satu-satunya petugas administrator basis data di lembaga itu, Sabur Yusnandar. Tugas Sabur mengamankan perangkat digital meski dia tak punya latar belakang pendidikan  sistem elektronik dan teknologi informasi (TI).

Lulusan SLTA ini ikut merancang aplikasi layanan daring bernama Si Kancil Berlari yang kemudian jebol di tangan peretas, Mei 2021. Dia menduga peretas masuk melalui salah satu plugin atau program tambahan di aplikasi yang didapat secara gratis. ”Setelah kejadian ini, kami membuat struktur baru untuk Si Kancil Berlari, kami ubah total,” kata Sabur.

Di Bandung, tim TI Dinas Kesehatan (Dinkes) Provinsi Jawa Barat mengalami serangan siber dua hari berturut-turut, 20-21 Juli 2021.  Tim tidak dapat berbuat banyak dan tidak tahu harus melakukan apa. Situs sempat mereka pulihkan, tetapi kembali diretas esok harinya. ”Kami langsung koordinasi dengan Dinas Komunikasi dan Informasi,” kata Aris Munandar, anggota tim TI  Dinkes Jabar.

Penelusuran  juga menemukan fakta bahwa pengelola sistem elektronik pemerintah di daerah minim pendanaan. Akibatnya, pengamanan siber banyak mengandalkan perangkat lunak (software) tanpa pembaruan (update), software gratisan, alat pinjaman, ataupun aplikasi dan program buatan mereka sendiri.

Di Jawa Timur, Kepala  Bidang Infrastruktur Teknologi Informasi dan Komunikasi Dinas Informasi dan Komunikasi Kabupaten Malang Tri Darmawan Sambodho mengatakan, dirinya menggunakan firewall (sistem keamanan komputer) pinjaman dari distributor sebelum nantinya mereka bisa membeli sendiri. Saat ini, anggaran untuk pengelolaan layanan elektronik di bidangnya terbatas. ”Sementara kami hanya pakai script (kode perintah) untuk router (perangkat keras untuk menghubungkan beberapa jaringan),” katanya.

Keberadaan firewall penting bagi layanan elektronik Dinas Infokom Kabupaten Malang karena mereka harus mengamankan sekitar 700 situs. Ini terdiri dari 378 situs desa, 12 situs kelurahan, 33 situs kecamatan, serta aplikasi milik organisasi perangkat daerah.

Aspek teknis

Temuan itu memperkuat hasil penilaian kerentanan yang dilakukan Kompas bekerja sama dengan konsultan keamanan siber terhadap 30 situs pemerintah di level kabupaten/kota, provinsi, dan pusat. Mereka terdiri dari 4 situs Komisi Pemilihan Umum kabupaten/kota, 3 situs pengadilan negeri, 4 situs Dewan Perwakilan Rakyat Daerah kabupaten/kota, 4 situs badan di tingkat pusat, 5 situs pemerintah kabupaten/kota, 5 situs pemerintah provinsi, dan 5 situs kementerian.

Dari hasil penilaian kerentanan terhadap 30 situs pemerintah itu, hanya tiga situs yang tak terdeteksi kerentanannya. Adapun 27 situs mempunyai kerentanan dengan beragam tingkat sekaligus, mulai dari kritis, tinggi, medium, hingga rendah.

Rinciannya, 9 situs mempunyai kerentanan kritis, yaitu 1 situs pemerintah pusat, 6 situs di tingkat kabupaten/kota, dan 2 situs provinsi. Pada situs-situs ini, peretas tidak membutuhkan teknik yang rumit untuk meretas, cukup  melalui basis data CVE (common vulnerabilities and exposures).

Sebanyak 26 situs memiliki kerentanan tinggi, yaitu 6 situs pemerintah pusat, 7 situs provinsi, dan 13 situs kabupaten/kota hingga pusat. Ini salah satunya ditandai dengan enkripsi kurang kuat antara browser pengguna dan server web. Akibatnya, peretas bisa dengan mudah mencuri informasi pengguna.

Penelusuran juga menunjukkan, 27 situs memiliki kerentanan sedang, yaitu 7 situs pemerintah pusat, 7 situs provinsi, dan 13 situs kabupaten/kota. Salah satu indikasinya adalah adanya kesalahan pada modul yang memberi celah penggunaan memori berlebihan. Hal ini membuat aktivitas mencurigakan tak terdeteksi.

Secara umum, kerentanan terjadi karena tidak adanya pembaruan di server web atau masih menggunakan server web versi lama. Ini membuka celah bagi penyerang jarak jauh yang tidak diotentifikasi masuk ke jaringan.

Menurut Ruby Alamsyah, pendiri Digital Forensic Indonesia, semakin kritis tingkat kerentanan sebuah situs dan semakin banyak kerentanannya, semakin mudah situs tersebut dibobol peretas.