Bocor Data, Pakar Ungkap Banyak Situs Pemerintah Tak Pakai HTTPS

Pakar siber Alfons Tanujaya menyebut kebocoran data kredensial di Layanan Pengadaan Secara Elektronik (LPSE) terjadi bukan hanya karena malware pada pengguna, tapi juga karena kelemahan di sistemnya.

Berdasarkan laporan platform investigasi peretasan Dark Tracer, beberapa institusi pemerintah yang mengalami kebocoran data kredensial alias nama pengguna dan data password. Misalnya, situs CPNS, Bea Cukai, Kementerian Keuangan, Kementerian Sosial, Kementerian Perindustrian dan Perdagangan.

Alfons menuturkan, berdasarkan laporan Dark Tracer, "banyak institusi pemerintah yang tidak menerapkan HTTPS yang baik pada situsnya".

Diketahui, Hypertext Transfer Protocol atau HTTP adalah protokol untuk mengirimkan data dari web server ke browser serta mengatur proses tampilan situs. Bentuk yang lebih aman dari sistem itu adalah HTTPS.

Alfons menyatakan, tanpa perlindungan HTTPS, semua informasi yang lalu lalang antara perangkat komputer dengan server yang melayani transaksi akan terlihat secara telanjang (tanpa enkripsi).

Jika mengandung informasi yang penting seperti kredensial atau data penting lainnya, maka informasi ini akan sangat mudah diambil dan digunakan untuk aksi kejahatan.

"Kebocoran kredensial yang disebabkan oleh HTTPS maksudnya, situs HTTP yang harusnya mengimplementasikan pengamanan trafik sehingga menjadi HTTPS (secure) tidak mengimplementasikan sehingga aksesnya tetap HTTP," jelas Alfons kepada CNNIndonesia.com, Selasa (26/4).

"Jadi akibatnya lalu lintas trafik ke situs tersebut akan tidak terenkripsi sehingga bisa disadap dan dibaca oleh penyadap. Kalau HTTPS maka trafiknya akan dienkripsi sehingga sekalipun disadap, informasinya tidak bisa dibaca karena terenkripsi," lanjutnya menjelaskan.

Dia menyimpulkan kebocoran data kredensial tidak hanya disebabkan oleh malware, akan tetapi kecerobohan pengelola situs tidak melindungi pengakses situsnya dengan HTTPS.

Menurut pengamatan Vaksincom dari daftar yang diberikan oleh Dark Tracer, sambungnya, LPSE merupakan salah satu institusi yang kurang menerapkan pengamanan data kredensial dengan baik.

"Setidaknya 470 subdomain LPSE lintas institusi mengalami kebocoran kredensial dengan jumlah kredensial yang bocor sebanyak 11.507 kredensial," sambungnya.

Menurutnya, kelemahan pada pengamanan subdomain dapat dieksploitasi sebagai pintu samping untuk menyerang domain utama yang telah diamankan dengan baik.

Sebelumnya, Badan Siber dan Sandi Negara (BSSN) mengklaim kebocoran data yang dilaporkan akun Dark Tracer beberapa waktu lalu bukan berasal dari lemahnya keamanan siber pemerintah, namun akibat kelalaian pengguna yang terserang malware.

BSSN dalam rilisnya mengatakan pada dasarnya pengguna yang terinfeksi stealer malware itu merupakan pengguna di situs pemerintah ataupun pengguna dari layanan publik. Sebagai informasi, 878.319 kredensial atau data rahasia dari 34.714 situs pemerintah berbagai negara bocor akibat infeksi program berbahaya atau malware.