.webp)
Aplikasi COVID-19 dari Pemerintah Indonesia tanpa sengaja membeberkan data lebih dari 1 juta orang dalam kebocoran data yang masif. Tetapi kemudian BSSN mengeluarkan pernyataan yang menyangkal hal ini dan menyatakan data eHAC tidak bocor dan mengklaim bahwa ini merupakan bagian dari keamanan siber. Bagaimana yang sebenarnya?
 |
Baca juga: Penjelasan BSSN Alasan Data eHAC Tidak Bocor |
Kehebohan ini bermula dari laporan VPNmentor yang merilis laporan berjudul "Report: Indonesian Government's COVID-19 App Accidentally Exposes Over 1 Million People in Massive Data Leak".
Bantahan BSSN kemudian dikutip oleh lembaga pemerintah lain seperti Kominfo dengan sangat yakin mengatakan bahwa tidak ada kebocoran data eHAC. Kominfo seharusnya adalah kementerian yang paling mengerti IT di Indonesia dan tahu jelas apa itu data dan apa itu definisi kebocoran data.
SCROLL TO CONTINUE WITH CONTENT
Padahal kalau memang pernyataan BSSN tersebut benar, harusnya VPNmentor diproses hukum karena menyebarkan informasi yang tidak benar dan menjelekkan Pemerintah Indonesia karena aplikasi COVID-19-nya mengalami kebocoran data yang masif.
Definisi kebocoran data atau Data Breach
A data breach is a security violation in which sensitive, protected or confidential data is copied, transmitted, viewed, stolen or used by an unauthorized individual.
Kebocoran data adalah aksi pelanggaran sekuriti dimana data yang sifatnya sensitif, terproteksi atau rahasia dikopi, ditransmisikan, dilihat, dicuri atau digunakan oleh individu yang tidak memiliki hak.
Jadi secara definitif, jika ada data yang sifatnya sensitif, terproteksi atau rahasia bisa "dilihat saja" oleh individu yang tidak memiliki hak. Maka hal ini sudah termasuk ke dalam kategori kebocoran data.
Jika kita menelaah lebih dalam artikel dari VPNmentor yang notabene adalah perusahaan asing dan bukan merupakan mitra Kemenkes, faktanya mereka bukan hanya melihat-lihat saja. Tetapi seperti kata Joshua, mengobok-obok data eHAC di mana diinformasikan bahwa data yang terpapar adalah identitas penumpang, identitas rumah sakit, nomor antrean ketika melakukan test COVID-19, alamat, jenis pengetesan COVID-19, hasil pengetesan dan tanggal pencetakan sertifikat dan dokumen ID eHAC. (lihat gambar 1).
 Gambar 1. Data eHAC yang diobok-obok oleh VPNmentor. Foto: Vaksincom |
Data lain yang berhasil didapatkan oleh VPNmentor adalah informasi detail lainnya seperti nomor HP, tanggal lahir, pekerjaan, jenis kelamin, NIK, paspor dan foto profil. (lihat gambar 2)
 Gambar 2. Foto profil yang terpapar eHAC. Foto: Vaksincom |
Database tersebut bahkan mengandung informasi staff yang bertugas membuat akun eHAC dengan detail seperti nama, nomor ID, nama akun eHAC, alamat email dan informasi apakah menggunakan password default atau tidak.
Security is a process
Dalam kasus kebocoran data memang tidak ada pihak yang senang, sengaja atau sukarela datanya bocor. Tetapi jika ada perusahaan atau institusi yang mengelola data publik, maka sudah menjadi kewajiban dari institusi tersebut mengamankan data yang mereka kelola dengan sebaik-baiknya karena jika terjadi kebocoran data, yang paling menderita adalah masyarakat pemilik data karena rentan menjadi korban eksploitasi.
Institusi yang bersangkutan paling maksimal mendapatkan malu, itu pun kalau mau sportif mengakui hal ini. Sebenarnya bukan kambing hitam atau siapa yang salah yang dicari oleh praktisi sekuriti, karena menyalahkan atau menghukum tidak menghilangkan akibat kebocoran data.
Tetapi kalau mengakui kesalahan saja tidak berani dilakukan, bagaimana kita bisa berharap institusi bisa sadar dan mengubah dirinya? Jika mengakui kesalahan saja sulit dan hal ini malah didukung oleh sesama lembaga negara, di mana seharusnya ada lembaga negara yang memberikan pencerahan kepada masyarakat dan menjadi wasit yang baik, ini malah berusaha saling melindungi dan menutupi kesalahan.
Dapat dikatakan bahwa jalan menuju pengamanan data masyarakat sangat terjal dan panjang dan masyarakat masih harus banyak berdoa semoga para pemangku kepentingan bisa sadar dan berjalan di jalan yang benar.
*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia.
(rns/fay)
