TEMPO.CO, Jakarta - Platform intelejen ancaman dark web, Dark Tracer, mengamati banyak institusi pemerintah di Indonesia yang tidak menerapkan https dengan baik pada situs miliknya. Padahal, seperti disebut dalam laporan kuartal pertama 2022 plaftorm itu, https sudah menjadi standar minimum dalam pengamanan situs.
Pengamat keamanan digital dari Vaksincom, Alfons Tanujaya, menjelaskan tanpa perlindungan https, semua informasi yang lalu lalang antara perangkat komputer dengan server yang melayani transaksi akan terlihat secara telanjang.
"Tanpa enkripsi dan jika mengandung informasi yang penting seperti kredensial atau data penting lainnya, informasi ini akan sangat mudah diambil dan digunakan untuk kejahatan,” kata Alfons, Selasa, 26 April 2022.
Dari laporan Dark Tracer terlihat kebocoran data memang disebutkan tidak melulu karena malware. Tapi juga kecerobohan pengelola situs yang tidak melindungi pengakses situsnya. "Https juga berkontribusi sangat besar pada kebocoran data kredenisal pengakses situs yang bersangkutan."
Menurut pengamatan Vaksincom terhadap daftar yang diberikan Dark Tracer, Layanan Pengadaan Secara Elektronik (LPSE) merupakan salah satu institusi yang kurang menerapkan pengamanan data kredensial dengan baik. Setidaknya ada 470 subdomain LPSE lintas institusi mengalami kebocoran dengan jumlah kebocoran sebanyak 11.507 kredensial.
Beberapa contoh subdomain yang bermasalah adalah wilayah Kabupaten Pidie, Ponorogo, Pontianak. Ada juga subdomain dari lembaga pemerintah seperti Polri, Badan POM, Pekerjaan Umum, RistekBRIN dan Ristekdikti.
"Kelemahan pada pengamanan subdomain dapat dieksploitasi sebagai pintu samping atau cross site untuk menyerang domain utama yang telah diamankan dengan baik," kata Alfons.
Selain https, menurut dia, hal esensial yang harus diperhatikan adalah pengamanan intranet atau jaringan internal institusi dimana informasi sensitif institusi berlalu lalang. Sudah seharusnya akses ke intranet dijaga dengan ekstra hati-hati.
“Karena itulah biasanya akses ke intranet institusi dilindungi dengan sangat baik dan dibentengi dengan berbagai macam perlindungan seperti firewall dan VPN,” kata Alfons menjelaskan.
Alfons tidak menyarankan akses ke intranet institusi untuk bisa dilakukan langsung dari internet, meskipun sudah diproteksi dengan https atau TFA sekalipun. Ia memberi pengandaian, memilih rumah di pinggir jalan besar yang hanya dilindungi gembok koper tiga digit sementara brankas penyimpanan barang berharga berada di halaman rumah.
Beberapa institusi pemerintah yang dilaporkan mengalami kebocoran data kredensial intranet adalah BRIN, anggaran keuangan Kementerian Keuangan, Bea Cukai, Karantina Pertanian, Kementerian Perindustrian dan Kementerian Sosial.
Alfons menjelaskan untuk mencegah pencurian kredensial, disarankan akses intranet melalui VPN. Ia juga memberikan alternatif lain jika terpaksa memberikan akses langsung ke intranet melalui internet dan tidak bisa menggunakan VPN.
“Pengamanan minimal yang disarankan adalah menggunakan proxy atau relay server sehingga akses ke intranet dapat dibatasi,” katanya.
Celah kebocoran
Alfons menjelaskan bahwa secara teknis, jika kebocoran terjadi dari sisi pengguna, ada 3 modus yang biasa digunakan oleh kriminal:
- Trojan atau keylogger adalah malware yang akan merekam semua ketukan keyboard dari perangkat yang diinfeksinya dan mengirimkan ke pembuat trojan.
- Phishing, dimana korban akan diarahkan ke situs palsu guna memasukkan kredensialnya untuk dicuri. Korban umumnya tidak sadar ketika masuk ke situs phishing karena ketidaktahuan dan juga keahlian pembuat pesan phishing yang biasanya berisi ancaman jika tidak melakukan penggantian kredensial maka layanan digitalnya baik email, rekening bank atau akunnya akan dimatikan atau diblokir.
- Menggunakan koneksi yang tidak aman seperti wifi gratisan yang tidak dienkripsi sehingga data yang ditransimisikan dapat disadap dan dibaca oleh pihak ketiga atau penyedia layanan wifi. Alpa melindungi trafik koneksi dengan enkripsi seperti memastikan situs yang diakses sudah dienkripsi dengan baik https atau menambahkan perlindungan tambahan seperti mengakses layanan kantor dari rumah dengan menggunakan VPN.
Cara melindungi diri dari pencurian kredensial:
- Pastikan antivirus yang anda gunakan memiliki Identity Shield. Ketika mengunjungi situs di mana Anda memasukkan kredensial, maka informasi tersebut akan dienkripsi sehingga sekalipun berhasil dicuri namun tidak akan bisa dibaca karena terenkripsi.
- Hindari menggunakan Wifi yang tidak diketahui keamanannya, jika terpaksa menggunakan, biasakan mengaktifkan VPN sehingga semua komunikasi dari perangkat komputer yang menggunakan Wifi akan terenkripsi.
- Hindari menggunakan piranti lunak bajakan karena rentan disusupi oleh malware/trojan.
- Untuk menghindari situs phishing, pastikan peramban atau browser sudah memiliki fitur Webroot Web Threat Shield yang akan mendeteksi dan mencegah anda menjadi korban phishing dan scam.
Baca juga:
Menjelang Penutupan TV Analog, Masyarakat Bingung antara Digital ASO dan Internet OTT
Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.