• Hacker Otodidak
• June 24, 2021
• No Comments

Sebenarnya saya malas untuk membuat tulisan seperti ini ke publik, disamping karena pembahasan ini bukan hanya menyangkut hal teknis berkaitan tentang IT ataupun cybersecurity, tapi juga menyangkut hukum dan lainnya yang tentunya bukan kapabilitas saya. Boro-boro ngerti hukum baca undang-undang baru satu pasal saja saya sudah tidak kuat untuk melanjutkan membacanya. Tapi, ada beberapa hal yang mendorong saya untuk membuat tulisan ini, salah satu nya adalah karena saya “kesal”. Gimana gak kesal, ketika mengetahui ternyata informasi pribadi saya seperti NIK dan tanggal lahir tersebar di internet. Saya yang sudah sejak tahun 2013 mulai berbagi dan mengajarkan tentang pentingnya cybersecurity awareness kesana-kemari dan tertawa(?) dalam bentuk webinar, pelatihan, bootcamp, dsb, eeh malah data pribadi saya sendiri yang tersebar di internet, gimana gak kesal coba!

The Story Begins

Ini semua berawal ketika disuatu hari yang cerah (saya lupa kapan persisnya pertama kali mengatahui bahwa data pribadi saya ada yang bocor), saya iseng mencoba melakukan profiling diri saya sendiri di Google. Ya, memang beberapa kali hal ini “iseng” saya lakukan (kalau sedang ingat saja sih) untuk mengetahui jejak digital apa saja yang sudah saya tinggalkan karena saya sering blunder juga sebenarnya alias sering latah nyebarin informasi pribadi yang seharusnya tidak dibagikan ke publik entah itu secara sengaja maupun tidak sengaja. Singkat cerita, saya melakukan profiling sederhana terhadap diri saya sendiri menggunakan teknik Open-source Intelligence (OSINT) sederhana di mesin pencari Google. Alhasil, muncul lah semua website yang ada data saya disitu seperti facebook, instagram, twitter, dll. Saya cek satu-satu sepertinya masih aman data-data yang berkaitan dengan diri saya yang terindeks di google, tapi ada satu yang membuat saya kesal. Ternyata beberapa data pribadi saya “bocor” dalam bentuk pdf di situs Badan Kepegawaian dan Pengembangan Sumber Daya Manusia Pemerintah Kota Batam di alamat: https://bkpsdm.batam.go.id/

Memang sih data yang bocor “enggak seberapa(?)”, gak sebanyak data yang bocor di kasus dugaan kebocoran data BPJS yang heboh belakangan ini. Data pribadi yang bocor di website BPKPSDM Pemko Batam tersebut adalah setidaknya NIK, pendidikan terakhir, nama lengkap, dan tanggal lahir. File pdf tersebut berisi data hasil seleksi administrasi penerimaan calon pegawai negeri sipil di lingkungan pemerintah kota Batam tahun 2018 yang jumlahnya ribuan. Data yang seharusnya bukan menjadi konsumsi publik ini “bocor” dikarenakan tidak diterapkannya kontrol akses yang baik terhadap directory listing, sehingga siapapun bisa melihat daftar file dan directory yang ada pada beberapa path url di website tersebut, termasuk informasi rahasia data pribadi CPNS ini. Data CPNS tahun 2018 ini terbagi dalam beberapa file pdf dengan total jumlah 5.399 data perorangan kalau dilihat dari penomoran terakhirnya.

The Story Continues

Setelah mengetahui data pribadi saya “bocor” oleh kesalahan access control terhadap website BKPSDM ini saya langsung menghubungi kontak admin nya yang tertera di website tersebut. Setidaknya ada dua informasi kontak disana, instagram dan email. Saya memilih yang praktis saja via direct message di Instagram. Akun Instagram BKPSDM juga terlihat aktif dalam mem-posting informasi. Saya laporkan permasalahan akses kontrol dan kebocoran data tersebut via DM instagram pada tanggal 17 Maret 2021. Saya cek berkala namun belum juga di read ataupun dibalas sampai pada tanggal 21 April 2021 akun tersebut membuat feed posting terbaru pun belum juga di read pesan saya. Mulai dari sini sebenarnya saya “sudah malas” untuk melanjutkan lagi karena sibuk juga dengan hal lain. Hari-hari berikutnya ketika saya cek berkala tetap saja data pribadi tersebut masih bisa diakses publik. Sampai suatu ketika saya iseng mengganti-ganti kata kunci pencarian untuk melihat kemungkinan hasil lain yg muncul di Google. Ternyata hal yang tidak diinginkan-pun terjadi. Sudah ada yang meng-upload kembali file pdf yang berisi data yang sama tapi kali ini hanya satu file pdf yang memuat keseluruhan 5.399 data calon CPNS pemko Batam tersebut yang di-upload di platform berbagi dokumen online di alamat: scribd.com

The Impacts

Sebenarnya saya malas ribut-ribut karena ini sudah masuk wilayah “abu-abu”, karena juga bersangkutan dengan ranah hukum dan pasal-pasal tentang UU ITE, UU kependudukan, dan mungkin juga UU lainnya. Kalau tidak ada data saya sih malas juga sebenarnya mau ngurusin, karena kalau yang udah sering melakukan security research di website-website Indonesia apalagi pemerintahan, pasti sudah tahu bahwa keamanan informasi masih menjadi “anak tiri” seperti kutipan mas Teguh di twitter: “Kamu lahir di Indonesia aja udah salah. Mau serapi atau seketat apapun kamu menjaga data pribadi, kalau pemerintahnya ngehe begini, ya ga guna.” dan salah satu opini nya yang bisa dibaca di artikel ini. Awalnya saya berharap masalah ini bisa cepat diselesaikan oleh maintainer dari website BKPSDM tersebut setelah saya mengontak mereka via Instagram. Tapi, karena ini sudah bocor ke platform lain juga, kalaupun sudah diperbaiki nantinya, saya masih harus mengurus lagi bagaimana “minimal” agar data saya yang di scribd.com itu juga musnah. Karena sudah tersebar ke situs lain, jadi saya rasa publik berhak tahu khususnya pemilik 5.398 data lainnya yang mungkin belum tahu bahwa datanya bocor di Internet. Larangan penyebarluasan data kependudukan dan data pribadi tanpa hak dijelaskan sangat lengkap dan mendetail beserta pasal-pasalnya disini dan kalau mau baca UU aslinya bisa dilihat disini. Melihat fakta ini, saya kembali mengontak BKPSDM, kali ini saya laporkan via email pada tanggal 23 Juni 2021 namun belum juga ada balasan hingga sekarang. Salah satu wilayah “abu-abu” yang saya maksud disini contohnya, website BKPSDM ini tidak memiliki Vulnerability Disclosure Policy (VDP) ataupun Bug Bounty Program yang menjelaskan boleh tidaknya mencari dan melaporkan kerentanan keamanan seperti yang sudah pernah saya bahas dan jelaskan di postingan sebelumnya disini. Karena motivasi saya semakin banyak terkait pengungkapan kasus kebocoran data ini, maka muncul lah tulisan ini ke publik. Beberapa dari motivasi tersebut antara lain:

• “Mengamankan diri sendiri” sebagai salah satu tujuan pencarian bug yang dijelaskan oleh pak Yohanes disini walaupun saya bukan mencari, tapi tidak sengaja menemukan ketika googling
• Saya sudah mencoba melakukan responsible vulnerability disclosure dengan terlebih dahulu melaporkan temuan kerentanan di website BKPSDM tersebut sebelum merilis tulisan ini tapi hingga kini belum juga di respond. Sedangkan kalau dibiarkan terus, bisa saja data tersebut akan semakin banyak yang menemukan dan membagikannya.
• Saya tidak “mencari” kerentanan keamanan secara spesifik terhadap website BKPSDM tersebut, saya hanya tidak sengaja “menemukannya” saat mencari di mesin pencari Google. Bukan ngeles loh ya, tapi emang bener kan? (padahal karena takut kena pasal)
• Langkah nyata berupa upaya administratif yang diambil oleh tim periksadata.com terhadap dugaan kebocoran data BPJS yang rangkuman konferensi pers nya bisa di download disini: periksadata.com/download sangat memotivasi saya untuk ikut andil mengungkapkan kebocoran data ini
• Impact yang ditimbulkan dari kebocoran ini sangat-amat merugikan saya secara pribadi. Gimana enggak, sekarang saya tidak bisa bicara di webinar dengan judul misalnya “Cara Mengamankan Data Pribadi Agar Terhindar dari Teknik OSINT di Internet” lah wong data pribadi saya saja bisa di-profiling dengan mudah berkat bantuan website pemerintahan yang berbaik hati memberikan data saya. Tidak hanya itu, sekarang harus terjadi ‘awkward‘ momen setiap saya bertemu mantan bos saya di tahun 2018 silam, karena sekarang dia bisa saja sudah tahu bahwa alasan saya cuti dulu ternyata bukan karena izin menghadiri pernikahan saudara yang “kesekian” kalinya, tapi ternyata karena mencoba test untuk berkesempatan menjadi abdi negara +62 (halah).
• Impact yang ditimbulkan bagi 5.398 orang lainnya tentunya juga banyak sekali. Mulai dari beresiko terkena doxing, social engineering, dan penipuan dengan berbagai cara. “Loh, kan yg bocor yang penting paling NIK, tanggal lahir, sama lulusan terakhir, apa bahayanya? lebay banget.” Untuk menjawab ini coba riset sendiri deh kenapa teknik social engineering seperti phising masih saja marak terjadi dan persentasi keberhasilannya sangat tinggi terutama yang terjadi di Indonesia, atau riset sendiri apa aja informasi dibalik sebuah nomor NIK, bagaimana hubungan psikologis, pengetahuan, dan kesadaran akan dunia siber dan keamanan informasi di Indonesia, dan sebagainya. Seharusnya sudah tidak perlu dijelaskan lagi kalau memang anda paham tentang betapa pentingnya data pribadi!

*Update:

• Per tanggal 25 Juni 2021, saya coba melaporkan hal ini ke layanan pengaduan lapor.go.id di alamat: https://batam.lapor.go.id/ yang menurut informasi di website nya, setiap laporan akan di verifikasi dalam 3 hari dan diteruskan kepada instansi berwenang. Saya akan tuliskan disini untuk update dari proses pelaporan ini
• Untuk yang merasa pemilik data 5.398 lainnya dan merasa salah satu CPNS Pemko Batam 2018 yang lulus test seleksi administratif dan ingin verifikasi apakah datanya termasuk yang bocor, bisa kontak saya melalui halaman kontak website ini.
• 29 Juni 2021 – update dari situs lapor.go.id, laporan ditanggapi dan ditinjaklanjuti oleh instansi terkait:

• Per 30 Juni 2021, saya coba cek kembali dan memang benar beberapa file pdf berisi 5.399 data CPNS yang saya laporkan telah dihapus, tapi kok yah masalah kontrol akses dan directory listing masih tidak perbaiki ya? padahal kalau tidak salah banyak juga data penting lainnya yang disimpan di berbagai directory yang tidak aman tersebut, yasudah lah yang penting minimal data pribadi saya sudah dihapus dari sana. Tapi tetap saja ini tidak menyelesaikan semua masalah, dikarenakan sudah ada yang meng-share data tersebut di platform lain dan bisa saja ada yang lainnya lagi yang luput dari pencarian saya. Yah, mungkin sekarang sebagai “korban” saya hanya bisa ngikutin saran dari mas Teguh di artikel sebelah yang saya kutip sebagai berikut: “Karena negara ini malah punya UU ITE, bukannya regulasi untuk menindak pembocoran/kebocoran data pribadi, yang jelas ketika kejadian seperti itu terjadi, sebagai korban tidak ada yang bisa kamu lakukan selain berdiam diri, pasrah, dan memikirkan kenapa logo susu beruang sekarang anaknya sudah hilang dan diganti dengan gelas yang berisi susu beruang itu sendiri.”