Cegah pencurian data dengan "pentest" dan "bug bounty program"

id kreditplus, pratama persadha,data pribadi,hacker

Cegah pencurian data dengan "pentest" dan "bug bounty program"

Data nasabah KreditPlus, mulai dari nama, kartu tanda penduduk (KTP), surel (e-mail), status pekerjaan, alamat, data keluarga penjamin pinjaman, tanggal lahir, nomor telepon, hingga lainnya. ANTARA/HO-CISSReC

Semarang (ANTARA) - Kebocoran data 819.976 nasabah KreditPlus bocor di forum internet sebenarnya sejak medio Juli lalu. Tepatnya, pada 16 Juli diunggah (upload) oleh anggota raidforums bernama ShinyHunters.

Seperti biasa, member di raidforums membagikannya melalui sistem pembayaran kredit, mata uang forum tersebut jika dirupiahkan sekitar Rp50 ribu.

Setelah membayarnya, akan mendapatkan sebuah link, kemudian mengarahkan pembeli untuk men-dowload file berisi ratusan ribu data pelanggan KreditPlus. File unduhan sebesar 78 megabita tersebut harus diekstrak, kemudian hasilkan sebuah file sebesar 430 megabita.

Setelah file dibuka, barulah melihat 819.976 data nasabah, mulai dari nama, kartu tanda penduduk (KTP), surel (e-mail), status pekerjaan, alamat, data keluarga penjamin pinjaman, tanggal lahir, nomor telepon, hingga lainnya.

Informasi yang bocor ini, menurut dosen pascasarjana pada Sekolah Tinggi Intelijen Negara (STIN) Dr Pratama Persadha, adalah data sensitif yang sangat lengkap sehingga sangat berbahaya untuk nasabah.

Pakar keamanan siber dari Communication and Information System Security Research Center (CISSReC) ini mengkhawatirkan kelengkapan data nasabah KreditPlus ini memancing kelompok kriminal untuk melakukan penipuan dan tindak kejahatan yang lainnya.

Bisa dibayangkan bila KreditPlus ini ada di luar negeri, bisa dikenai pasal kelalaian dalam General Data Protection Regulation (GDPR). Dalam regulasi perlindungan data pribadi bagi masyarakat Uni Eropa, kata Pratama, bila terbukti lalai, penyelenggara sistem dan transaksi elektronik (PSTE) bisa dikenai tuntutan sampai 20 juta euro.

Dalam hal ini, kata Ketua Lembaga Riset Keamanan Siber dan Komunikasi (CISSReC) Pratama Persadha, negara punya tanggung jawab untuk melakukan percepatan pembahasan Rancangan Undang-Undang tentang Perlindungan Data Pribadi.

Dalam undang-undang tersebut, Pratama mengusulkan ada pasal yang mengatur sanksi bagi setiap penyelenggara sistem dan transaksi elektronik yang tidak mengamankan data masyarakat. Mereka bisa dituntut ganti rugi dan dibawa ke pengadilan.

Pemerintah Proaktif

Begitu ada berita seputar kebocoran data nasabah KreditPlus, Pemerintah tidak tinggal diam. Kementerian Komunikasi dan Informatika pada hari Selasa (4/8) langsung bersurat kepada pengelola platform digital KreditPlus terkait dengan dugaan kebocoran data.

Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika Semuel Abrijani Pangerapan, dalam keterangan resmi, Selasa, menjelaskan bahwa surat tersebut pada intinya minta klarifikasi hal itu sekaligus melaporkan ke Kominfo terkait dengan isu kebocoran ini.

Kominfo menegaskan bahwa KreditPlus sebagai penyelenggara sistem dan transaksi elektronik (PSTE) wajib memenuhi standar perlindungan data pribadi sebagaimana diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

Selain itu, PSTE juga tunduk pada Peraturan Menteri Kominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Sementara itu, platform KreditPlus terdaftar di Otoritas Jasa Keuangan (OJK) sebagai lembaga pembiayaan, atas nama Finansia Multi Finance.

Dalam situs mereka, KreditPlus menuliskan PT Finansia Multi Finance bergerak di bidang pembiayaan sejak 1994 dan memperoleh izin usaha dari Menteri Keuangan berdasarkan surat No.460/KMK.017/1994 tanggal 14 September 1994.

Merek KreditPlus melayani pembiayaan motor, mobil, dan peralatan berat. Perusahaan ini sejak 2014 memiliki layanan finansial digital.

Data mengenai Finansia Multi Finance masih dimuat dalam Direktori Jaringan Kantor Lembaga Pembiayaan per Juni 2020 di laman resmi OJK.

Dirjen Aplikasi Informatika Kominfo Semuel Abrijani Pangerapan mengimbau masyarakat untuk menjaga keamanan akun masing-masing, antara lain mengganti kata sandi secara berkala dan tidak memberikan kata sandi atau one-time password kepada pihak lain.

Diakui KreditPlus

Platform digital untuk layanan pembiayaan, Direktur KreditPlus Peter Halim, dalam keterangan resmi, Rabu (5/8), membenarkan ada upaya pencurian data konsumen mereka beberapa waktu lalu.

Hasil investigasi sementara, pihaknya menunjukkan adanya tindakan pencurian data oleh pihak ketiga yang tidak berwenang terkait dengan informasi konsumen KreditPlus.

KreditPlus menyatakan mereka segera menginvestigasi sistem internal setelah muncul pemberitaan data nasabah mereka bocor. Setelah investigasi internal tersebut, mereka menemukan ada pencurian data.

Peter mengatakan bahwa mereka saat ini sudah menggunakan jasa konsultan keamanan siber eksternal untuk investigasi lebih dalam soal dugaan data bocor.

Perusahaan tersebut belum menyebutkan apakah data yang dibobol berjumlah sekitar 896.000 seperti yang muncul di pemberitaan.

Peter pada saat itu. mengungkapkan bahwa investigasi oleh konsultan cyber security eksternal tersebut saat ini masih berlangsung.

KreditPlus juga bekerja sama dengan pihak berwenang dalam investigasi tersebut untuk memastikan agar data pribadi konsumen aman dan terlindungi.

KreditPlus berjanji akan segera melaporkan kejadian ini ke Badan Siber dan Sandi Negara (BSSN). Perusahaan juga menyatakan terus berinvestasi untuk meningkatkan keamanan di platform tersebut.

Terkait dengan perlindungan terhadap data nasabah, KreditPlus selama ini sudah menerapkan sistem keamanan berlapis berupa kode one-time password (OTP).

Pencegahan

Pakar keamanan siber Pratama Persadha lantas memberi solusi guna mencegah pencurian data berulang, antara lain sesering mungkin melakukan penetration test (pentest) pada sistem teknologi informasi (information technology/IT) dan bug bounty program.

Dalam program pencarian bug/celah keamanan pada suatu web/aplikasi ini, kata Pratama, PSTE bisa memberikan reward yang layak pada setiap pihak yang menemukan celah keamanan pada sistem mereka. Hal ini sering dilakukan Apple, Google, Facebook, Amazon, dan raksasa teknologi lainnya.

Menurut Pratama, yang sering terlupakan adalah mengecek keamanan jalur vendor IT. Harus memastikan menutup berbagai celah dan peluang celah keamanan yang bisa membahayakan platform digital.

Di lain pihak, dia berharap kasus kebocoran data yang terus berulang ini sebaiknya mendorong Kominfo dan BSSN untuk lebih sering turun ke lapangan melakukan edukasi dan memaksa PSTE untuk membangun sistem yang lebih baik, terutama dalam melindungi data nasabah atau pelanggan platform mereka.

Apalagi, kata pria kelahiran Cepu, Kabupaten Blora, Jawa Tengah ini, keamanan siber akan menjadi salah satu patokan investor untuk berbisnis di Tanah Air.

Sebelum pemilik layanan bisa mengamankan data pribadi penggunanya, masyarakat juga harus bisa mengamankan data pribadi sendiri. Misalnya, buat password yang baik dan kuat, aktifkan two factor authentication.

Selain itu, pasang antivirus di setiap gawai, jangan menggunakan wifi gratisan, jangan membuka link yang tidak dikenal dan mencurigakan, serta pengamanan standar lainnya.
Pewarta :
Editor: Indra Gultom
COPYRIGHT © ANTARA 2020

Komentar