Hampir 12 Ribu Data Pengadaan Barang Kementerian RI Dikabarkan Bocor

Fahmi Ahmad Burhan
26 April 2022, 14:18
kebocoran data, data bocor, serangan siebr, hacker, kementerian, lpse
Muhammad Zaenuddin|Katadata
Ilustrasi kebocoran data

Peneliti keamanan DarkTracer melaporkan, 11.507 data kredensial pada Layanan Pengadaan Secara Elektronik (LPSE) lintas-kementerian dan lembaga (K/L) bocor. Ahli teknologi informasi (IT) menilai, kebocoran data ini karena lemahnya pengamanan situs oleh pemerintah.

LPSE adalah penyelenggara sistem elektronik pengadaan barang/jasa pemerintah. LPSE mengoperasikan sistem e-procurement bernama SPSE yang dikembangkan oleh Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah pada Direktorat Pengembangan Sistem Pengadaan Secara Elektronik.

Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya mengatakan, berdasarkan data DarkTracer, ribuan data bocor itu terjadi di 470 subdomain LPSE. Beberapa di antaranya yakni lpse.polri.go.id (55 data kredensial), lpse.pu.go.id (605), lpse.ristekbrin.go.id (lima), lpse.ristekdikti.go.id (13), dan lpse.pom.go.id (31).

Data LPSE Kementerian dan Lembaga diduga bocor
Data LPSE Kementerian dan Lembaga diduga bocor (DarkTracer)

Alfons menilai, kebocoran data itu terjadi karena lemahnya pengamanan situs. "Dari daftar yang diberikan oleh DarkTracer, LPSE menjadi salah satu institusi yang kurang menerapkan pengamanan data kredensial dengan baik," katanya dalam siaran pers, Selasa (26/4).

Menurutnya, pengamanan data yang ketat seharusnya dilakukan oleh instutisi pemerintah. Sebab, pemerintah pasti memiliki banyak data penting yang harus dilindungi.

Pemerintah semestinya melakukan pengamanan situs seperti menggunakan enkripsi, https, virtual private network (VPN), hingga de militerized zone (DMZ).

"Namun, banyak institusi pemerintah yang tidak menerapkan https dengan baik pada situsnya," kata Alfons. Padahal, https sudah menjadi standar minimum dalam pengamanan situs.

Ia menjelaskan, kebocoran data kredensial di subdomain LPSE bisa berbahaya. Sebab, informasi yang lalu lalang antara perangkat komputer dengan server saat melayani transaksi akan terlihat secara telanjang atau tanpa enkripsi.

Informasi tersebut akan sangat mudah diambil dan digunakan untuk aksi kejahatan. "Subdomain juga dapat dieksploitasi sebagai pintu samping atau cross site ketika pelaku menyerang domain utama yang telah diamankan dengan baik," kata Alfons.

Katadata.co.id meminta tanggapan Kementerian Komunikasi dan Informatika (Kominfo) terkait laporan DarkTracer tersebut. Namun, Kominfo belum juga memberikan tanggapan hingga berita ini dirilis. 

Sebelumnya, DarkTracer juga mengungkap kebocoran 2.180.233 data dari 93.117 domain Indonesia. "Ini terinfeksi stealer malware," kata DarkTracer di akun Twitter-nya @darktracer_int, dua pekan lalu (12/4).

Sejumlah domain yang datanya bocor di antaranya, dashboard.prakerja.go.id (79.064 data kredensial), djponline.pajak.go.id (50.469), info.gtk.kemdikbud.go.id (39.230), sscndaftar.bkn.go.id (27.665), dan lainnya.

Reporter: Fahmi Ahmad Burhan

Cek juga data ini

Berita Katadata.co.id di WhatsApp Anda

Dapatkan akses cepat ke berita terkini dan data berharga dari WhatsApp Channel Katadata.co.id

Ikuti kami

Artikel Terkait

Video Pilihan
Loading...