Peneliti keamanan DarkTracer melaporkan, 11.507 data kredensial pada Layanan Pengadaan Secara Elektronik (LPSE) lintas-kementerian dan lembaga (K/L) bocor. Ahli teknologi informasi (IT) menilai, kebocoran data ini karena lemahnya pengamanan situs oleh pemerintah.
LPSE adalah penyelenggara sistem elektronik pengadaan barang/jasa pemerintah. LPSE mengoperasikan sistem e-procurement bernama SPSE yang dikembangkan oleh Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah pada Direktorat Pengembangan Sistem Pengadaan Secara Elektronik.
Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya mengatakan, berdasarkan data DarkTracer, ribuan data bocor itu terjadi di 470 subdomain LPSE. Beberapa di antaranya yakni lpse.polri.go.id (55 data kredensial), lpse.pu.go.id (605), lpse.ristekbrin.go.id (lima), lpse.ristekdikti.go.id (13), dan lpse.pom.go.id (31).
Alfons menilai, kebocoran data itu terjadi karena lemahnya pengamanan situs. "Dari daftar yang diberikan oleh DarkTracer, LPSE menjadi salah satu institusi yang kurang menerapkan pengamanan data kredensial dengan baik," katanya dalam siaran pers, Selasa (26/4).
Menurutnya, pengamanan data yang ketat seharusnya dilakukan oleh instutisi pemerintah. Sebab, pemerintah pasti memiliki banyak data penting yang harus dilindungi.
Pemerintah semestinya melakukan pengamanan situs seperti menggunakan enkripsi, https, virtual private network (VPN), hingga de militerized zone (DMZ).
"Namun, banyak institusi pemerintah yang tidak menerapkan https dengan baik pada situsnya," kata Alfons. Padahal, https sudah menjadi standar minimum dalam pengamanan situs.
Ia menjelaskan, kebocoran data kredensial di subdomain LPSE bisa berbahaya. Sebab, informasi yang lalu lalang antara perangkat komputer dengan server saat melayani transaksi akan terlihat secara telanjang atau tanpa enkripsi.
Informasi tersebut akan sangat mudah diambil dan digunakan untuk aksi kejahatan. "Subdomain juga dapat dieksploitasi sebagai pintu samping atau cross site ketika pelaku menyerang domain utama yang telah diamankan dengan baik," kata Alfons.
Katadata.co.id meminta tanggapan Kementerian Komunikasi dan Informatika (Kominfo) terkait laporan DarkTracer tersebut. Namun, Kominfo belum juga memberikan tanggapan hingga berita ini dirilis.
Sebelumnya, DarkTracer juga mengungkap kebocoran 2.180.233 data dari 93.117 domain Indonesia. "Ini terinfeksi stealer malware," kata DarkTracer di akun Twitter-nya @darktracer_int, dua pekan lalu (12/4).
Sejumlah domain yang datanya bocor di antaranya, dashboard.prakerja.go.id (79.064 data kredensial), djponline.pajak.go.id (50.469), info.gtk.kemdikbud.go.id (39.230), sscndaftar.bkn.go.id (27.665), dan lainnya.