Cyberthreat.id - Pakar privasi mengecam Departemen Dalam Negeri Australia terkait pelanggaran data yang mengungkapkan rincian pribadi 774.000 migran dan orang yang ingin bermigrasi ke Australia.

Kebocoran data ini terjadi di tengah upaya pemerintah Australia yang meminta masyarakat mempercayai keamanan data yang dikumpulkan oleh aplikasi pelacakan kontak CovidSafe terkait pandemi Covid-19.

Dilansir dari The Guardian, data yang bocor itu berasal dari platform SkillsSelect yang dikelola oleh Departemen Ketenagakerjaan dengan mengundang pekerja terampil dan pebisnis untuk menyatakan minat bermigrasi ke Australia.

Pernyataan minat disimpan selama dua tahun dan ditampilkan pada aplikasi yang tersedia untuk umum, diiklankan di situs web Departemen Dalam Negeri dan memungkinkan mereka menerima undangan untuk visa kerja tenaga terampil.

Dengan hanya dua klik, pengguna aplikasi dapat melihat berbagai bidang termasuk "ADUserID" pelamar, pengidentifikasi unik yang terdiri dari sebagian nama (partial name) dan sejumlah angka unik.

Pencarian oleh Guardian Australia mengungkapkan database publik berisi 774.326 ADUserID unik dan 189.426 formulir pernyataan minat, dapat dicari hingga 2014.

Informasi lain yang tersedia termasuk negara kelahiran pelamar, usia, kualifikasi, status perkawinan, dan hasil dari aplikasinya apakah diterima atau tidak.

Monique Mann, anggota dewan Australian Privacy Foundation, mengatakan kepada Guardian Australia bahwa pelanggaran itu "sangat serius ... terutama pada saat pemerintah Australia mengharapkan kepercayaan dari masyarakat".

Mann mengatakan informasi itu “komprehensif” dan itu “benar-benar menggelikan.”

Mann menuduh pemerintah federal,"punya rekam jejak yang buruk secara konsisten yang menunjukkan bahwa kita tidak dapat mempercayai mereka dengan informasi pribadi kita"

Teague, akademisi privasi dan kepala eksekutif Thinking Cybersecurity, mengatakan kehadiran ADUserIDs “terlihat seperti barang terselubung”.

"Sepertinya jika Anda memiliki hipotesis tentang siapa yang telah menerapkan, Anda dapat menebak UserID mereka," katanya.

"Jika Anda dapat menggunakan ini untuk menjabarkan orang tertentu yang Anda pikirkan dan dari yang memahami apa yang mereka masukkan ke dalam kategori tertentu, maka itu adalah cara untuk mengekstrak informasi yang mungkin belum Anda ketahui."

Ketika Guardian Australia menghubungi Departemen Urusan Dalam Negeri, yang bertanggung jawab atas SkillsSelect, dan departemen ketenagakerjaan, yang menampung aplikasi pada domainnya, platform tersebut telah offline dengan pesan "sedang dalam pemeliharaan".

Mann mengatakan ada kekhawatiran lebih lanjut bahwa departemen belum mengidentifikasi pelanggaran itu.

“Proses audit dan pengawasan apa yang terjadi dalam departemen dalam negeri?"

“Departemen ini bertanggung jawab atas kepolisian, perlindungan perbatasan, dan intelijen. Anda akan mengharapkan tingkat keamanan informasi yang lebih besar daripada ini. "

Anna Johnston, kepala sekolah Salinger Privacy, mengatakan skema pemberitahuan pelanggaran Australia mewajibkan lembaga pemerintah Australia untuk memberi tahu Komisi Privasi dan orang-orang yang terkena dampak, tentang setiap pelanggaran data yang "kemungkinan akan mengakibatkan bahaya serius".

"Kegagalan untuk memberi tahu pelanggaran data yang memenuhi syarat dapat menjadi alasan bagi seseorang untuk mengajukan keluhan atau [kantor Komisi Informasi] mengeluarkan penalti," katanya.

Departemen ketenagakerjaan mengatakan mereka hanya "mendukung [departemen dalam negeri] dengan memberikan solusi TI untuk program ini".

“Sejalan dengan pernyataan kebijakan data publik pemerintah Australia, [departemen] berkolaborasi pada awal 2020 untuk menyediakan laporan yang menginformasikan kepada publik tentang karakteristik aplikasi umum yang diterima dan diterima melalui program SkillSelect.

"Laporan ini tidak menampilkan informasi pribadi apa pun dan berfokus terutama pada jumlah aplikasi yang diterima oleh setiap kode pekerjaan dan wilayah geografis."[]