Pakar: Tak Cuma Malware, Bocor Data LPSE Bisa Salah Pengelola Situs

Pakar Siber Alfons Tanujaya menyebut kebocoran data kredensial di situs LPSE (Layanan Pengadaan Secara Elektronik) terjadi bukan hanya karena malware di pengguna, tapi juga sebab ada kelemahan di sistemnya.

Dark Tracer menyebut situs pemerintah yang memiliki banyak data penting harus dilengkapi sistem pengamanan kelas wahid, mulai dari enkripsi, https, VPN, DMZ atau de militerized zone.

Sistem keamanan itu menjadi hal wajib yang menyertai keberadaan situs pemerintah. Namun, dari laporan yang diberikan Dark Tracer, banyak institusi pemerintah tidak menerapkan https dengan baik pada situsnya.

Pasalnya, tanpa perlindungan https, semua informasi yang lalu lalang antara perangkat komputer dengan server yang melayani transaksi akan terlihat secara telanjang (tanpa enkripsi).

Jika mengandung informasi yang penting seperti kredensial atau data penting lainnya, maka informasi ini akan sangat mudah diambil dan digunakan untuk aksi kejahatan.

"Kebocoran kredensial yang disebabkan oleh https maksudnya, situs http yang harusnya mengimplementasikan pengamanan trafik sehingga menjadi https [secure] tidak mengimplementasikan sehingga aksesnya tetap http," kata Alfons dalam penjelasannya kepada CNNIndonesia.com, Selasa (26/4).

"Jadi akibatnya lalu lintas trafik ke situs tersebut akan tidak terenkripsi sehingga bisa disadap dan dibaca oleh penyadap. Kalau https maka trafiknya akan dienkripsi sehingga sekalipun disadap, informasinya tidak bisa dibaca karena terenkripsi," lanjutnya menjelaskan.

Lebih lanjut Alfons menyimpulkan kebocoran data tidak hanya disebabkan malware. Akan tetapi kecerobohan pengelola situs tidak melindungi pengakses situsnya dengan https juga berkontribusi sangat besar pada kebocoran data kredensial pengakses situs yang bersangkutan.

Diketahui, HTTPS (Hypertext Transfer Protocol Secure) adalah protokol untuk mengirimkan data dari web server ke browser serta mengatur proses tampilan situs yang lebih aman dari sistem HTTP.

Menurut pengamatan Vaksincom dari daftar yang diberikan Dark Tracer, LPSE merupakan salah satu institusi yang kurang menerapkan pengamanan data kredensial dengan baik.

Setidaknya 470 subdomain LPSE lintas institusi mengalami kebocoran kredensial dengan jumlah kredensial yang bocor sebanyak 11.507 kredensial, jelas Alfons.

Kelemahan pada pengamanan subdomain dapat dieksploitasi sebagai pintu samping untuk menyerang domain utama yang telah diamankan dengan baik. Selain pengamanan https, hal esensial yang harus diperhatikan adalah pengamanan intranet.

Berdasarkan laporan DarkTracer, ada beberapa institusi pemerintah yang mengalami kebocoran data kredensial intranet. Sebut saja situs BRIN, Bea Cukai, Depkeu, Kemsos, Kemenperin, Kabupaten Murung Raya dan TNP2K.

Sebelumnya, Badan Siber dan Sandi Negara (BSSN) mengklaim kebocoran data yang dilaporkan akun Dark Tracer beberapa waktu lalu bukan berasal dari lemahnya keamanan siber pemerintah, namun akibat kelalaian pengguna yang terserang malware.

BSSN dalam rilisnya mengatakan pada dasarnya pengguna yang terinfeksi stealer malware itu merupakan pengguna di situs pemerintah ataupun pengguna dari layanan publik.

Sebagai informasi, 878.319 kredensial atau data rahasia dari 34.714 situs pemerintah berbagai negara bocor akibat infeksi program berbahaya atau malware.