Data EKTP Warga Terpampang di 4 Situs Pemda: DKI Jakarta hingga Jateng

CNN Indonesia

Rabu, 17 Nov 2021 10:24 WIB

Ilustrasi. Data EKTP warga yang tersimpan di sejumlah situs pemerintah daerah (pemda) teransam lantaran situs tersebut tidak diamankan. (CNN Indonesia/Adi Maulana)

Jakarta, CNN Indonesia --

Data internal dan data EKTP penduduk di sejumlah situs pemerintah daerah (pemda) dilaporkan mudah diakses siapa saja tanpa harus repot-repot melakukan peretasan.

Pengguna cukup melakukan pencarian dengan kata kunci tertentu dan data-data itu pun bisa diakses dengan segera.

Beberapa situs yang ditemukan di antaranya situs Dinas Perhubungan Kota Mojokerto, Dinas Kependudukan dan Catatan Sipil Kabupaten Cilacap, JDIH DKI Jakarta, dan situs eService Jawa Tengah.

SCROLL TO CONTINUE WITH CONTENT

Sebelumnya media sosial Twitter diramaikan oleh cuitan dari akun @tvindonesiawkwk yang menunjukkan hasil penelusuran di peramban.

Hasil penelusuran tersebut menunjukkan data Kartu Tanda Penduduk (KTP) seseorang yang merujuk ke situs Komisi Pemilihan Umum (KPU) Kota Bogor.

[Gambas:Twitter]

CNNIndonesia.com kemudian mencoba memasukkan kata kunci yang digunakan tersebut untuk melakukan penelusuran. Dan hasilnya, sejumlah foto KTP ditampilkan sebagai hasil dari pencarian.

Foto KTP ini berasal dari berbagai macam lembaga yang didominasi oleh lembaga pemerintah di tingkat kota dan kabupaten.

Kemudian saat ditelusuri lebih jauh, selain KTP, kata kunci ini membuat kami dapat mengakses data internal di lembaga tersebut.

Data yang ditampilkan di antaranya foto dokumentasi acara, surat izin yang diterbitkan, poster acara, hingga sejumlah dokumen lain.

Lihat Juga :

Ahli Kritik eKTP Sering Difotocopy: Data Pribadi Rentan

Pengembang tak paham keamanan

Pengamat teknologi informasi dan media sosial, Kun Arief Cahyantoro menyebut pengembang sistem pada situs-situs pemerintah tidak paham keamanan yang membuat sejumlah data internal di situs tersebut mudah diakses oleh publik.

Menurut Kun, cara yang kami lakukan tersebut merupakan teknik dasar dalam melakukan data crawling atau pengumpulan data.

"Teknik pengungkapan data menggunakan browser itu menggunakan google dork atau dorking. Teknik ini adalah teknik dasar untuk melakukan data crawling atau proses pen testing," kata Kun kepada CNNindonesia.com melalui pesan teks, Selasa (16/11).

[Gambas:Video CNN]

Mudahnya data internal pada situs-situs tersebut diakses menunjukkan pengembang sistem tidak paham tentang keamanan sistem.

Sesungguhnya, hal itu menunjukkan bahwa pihak pengelola/pengembang sistem pada situs-situs seperti itu, tidak paham tentang keamanan sistem dimana fokus utamanya pada ketahanan sistem," ujar Kun.

Pengembang situs kerap menganggap keamanan sistem bisa dilakukan hanya dengan menyematkan sejumlah alat bantu seperti antivirus, firewall, dan lain-lain.

"Ketidakpahaman itu adalah keamanan sistem dianggap sebagai pekerjaan terakhir dari development dan amannya sistem cukup dengan menambahkan / menempelkan / meletakkan alat bantu keamanan saja (antivirus, firewall, datacenter aman, dll)," jelasnya.

"Sehingga, bukan karena kesengajaan tetapi masalah ketidakpahaman," tambah Kun menegaskan.

Kemudian Kun menjelaskan situs-situs tersebut dibuat pada platform open source, dan pada platform tersebut pengembang harusnya menutup 'pintu-pintu' fitur agar tidak bisa diakses oleh publik.

"Platform website yang digunakan memang merupakan platform open source yang maknanya adalah platform tersebut hampir seluruh fitur dan isi didalamnya bersifat terbuka (sistemnya) dan dapat dikembangkan atau di-manage oleh pengembangnya secara bebas," kata Kun.

"Keterbukaan (sistem) pada platform-platform open source seperti itu yang berimplikasi bahwa pengembang pada saat deployment, selayaknya harus menutup 'pintu-pintu fitur' dari platform tersebut," tambahnya.

Lihat Juga :

Cara Agar Foto eKTP Tidak Disalahgunakan

Solusi dari masalah ini adalah kemampuan pengembang dalam mengidentifikasi dan mengeksekusi penutupan pintu-pintu yang dapat menjadi celah keamanan pada sistem.

Kemudian Kun mengatakan sebuah sistem atau aplikasi seharusnya tidak online atau dirilis untuk publik jika dirasa tidak aman.

Dan keamanan tersebut hanya bisa dibuktikan melalui hasil audit penetration testing.

"Dan keyakinan atas keamanan sistem atau aplikasi hanya bisa berdasarkan hasil audit pentesting, tidak bisa hanya ditambahkan atau ditempelkan dengan alat bantu pengamanan atau diletakkan dalam lokasi pengamanan saja," pungkasnya.

[Gambas:Video CNN]

Situs Pemda Tak Diamankan

BACA HALAMAN BERIKUTNYA

HALAMAN:

1 2

Ahli Kritik eKTP Sering Difotocopy: Data Pribadi Rentan

LAINNYA DI DETIKNETWORK