Jakarta, Cyberthreat.id - Pegiat sosial media pendukung pemerintah Denny Siregar merespon ditangkapnya tersangka pembocor data pribadinya bernama Febriansyah Puji Handoko (FPH), seorang pegawai kontrak alias outsourcing di Grapari Telkomsel, Rungkut, Surabaya,  

Dalam sebuah unggahan di laman Facebook-nya, Denny Siregar mengapreasiasi gerak cepat polisi. Namun, bagi Denny, fakta bahwa pembocor data pribadinya adalah seorang pegawai kontrak, menyisakan pertanyaan tentang cara Telkomsel mengamankan data pelanggan.

"Tertangkapnya si 'outsourcing' itu menguatkan dugaan, bahwa ada kelemahan berbahaya di sistem data Telkomsel," tulis Denny, diakses Sabtu (11 Juli 2020).

Denny pun mempertanyakan klaim Telkomsel yang menyebut bahwa sistem pengamanan datanya sangat aman. Bahkan, sudah mendapat ISO 27001 dan diawasi badan independen pula.

"Lah, kalau dengan sertifikat ISO itu yang bobol cuma sekelas outsourcing doang, bayangkan, betapa bahanya semua sistem Telkomsel. Mengerikan. Kita semua terancam. Data kiba bisa diakses sama coo-coro di perusahaan besar," tambah Denny.

Sebelumnya, Kasubdit I Direktorat Tindak Pidana Siber Bareskrim Kombes Reinhard Hutagaol mengatakan tersangka FPH bekerja sebagai di bagian costumer service di Grapari Telkomsel Rungkut, Surabaya.

Karena posisinya itu, kata Reinhard, FPH mendapat akses terbatas ke data pribadi pelanggan, namun tanpa melalui otorisasi atasannya. Data itu kemudian difoto dan dikirimkan ke pemilik akun Twitter @Opposite6891 yang kemudian mengunggahnya ke sosial media.

"Artinya, yang bisa mengakses data-data tersebut adalah pelanggan itu sendiri atau permintaan dari atasan. Jadi tanpa ada otorisasi melakukan pembukaan file atas nama DS (Denny Siregar)," kata Reinhard.

Tidak jelas benar apa yang dimaksud Reinhard sebagai "akses terbatas." Apakah hanya data tertentu saja yang bisa diakses, atau tersangka memang punya password untuk masuk ke sistem database pelanggan meski pun untuk mengaksesnya harus seizin atasan.

Namun, jika melihat data yang diperoleh sangat detail, kemungkinan besar FPH memang mendapat akses untuk masuk ke sistem database pelanggan. Lihat saja data yang diungkap: nama lengkap, alamat, Nomor Induk Kependudukan (NIK) dan nomor kartu keluarga, sistem operasi perangkat yang dipakai pelanggan, operator telekomunikasi yang digunakan, serta nomor IMEI perangkat.

Catatan Cyberthreat.id, sistem otorisasi seharusnya membutuhkan aproval dari atasan untuk masuk ke sistem. Sangat riskan jika seseorang yang punya akses tapi diharapkan tidak mengakses data tersebut tanpa izin atasannya.

Ini semacam memberi kunci brankas uang kepada seseorang, lalu berharap orang tersebut tidak mengambil uangnya tanpa seizin si pemberi kunci. Siapa yang bisa menjamin orang yang diberi kunci itu tidak akan mengambil uangnya?

Lazimnya, untuk pengamanan data sebuah perusahaan besar menerapkan akses berlapis. Misalnya, bagian costumer service hanya bisa mengakses sebagian data yang berhubungan dengan keluhan pelanggan. Sementara atasannya bisa mengakses data yang lebih lengkap.

Jika merujuk kepada pernyataan Reinhard, sepertinya itu tidak diterapkan di Telkomsel. Itu artinya, tidak hanya data pribadi Denny Siregar, data Anda pengguna Telkomsel juga sewaktu-waktu bisa saja dibocorkan jika musuh Anda punya kenalan orang dalam di Telkomsel. Tak perlu kenal petingginya, cukup seorang pegawai kontrak di bagian costumer service.[]