Peringatan situs untuk pendaftaran warga miskin DKI Jakarta tidak aman dan berpotensi terjadinya pencurian data oleh peretas. | Tangkapan layar
Peringatan situs untuk pendaftaran warga miskin DKI Jakarta tidak aman dan berpotensi terjadinya pencurian data oleh peretas. | Tangkapan layar
Cyberthreat.id - Pemerintah Provinsi DKI Jakarta lewat Dinas Sosial membuka pendaftaran secara online bagi warga miskin dan orang tidak mampu. Pendaftaran dibuka mulai 25 Oktober hingga 4 November 2020.
Pendaftaran warga miskin DKI Jakarta itu dilakukan melalui alamat http://fmotm.pusdatin-dinsos.jakarta.go.id. Situs webnya pun ditandai dengan “tidak aman” oleh peramban web Google Chrome dan Firefox Mozilla. (Lihat: DKI Jakarta Buka Pendaftaran Warga Miskin Online di Link Ini, Tapi Situsnya kok Tidak Aman?)
Menurut Deputi Head dari Master of Information Technology-Swiss Germany University (SGU) Charles Lim tanda itu muncul karena Dinsos DKI Jakarta menggunakan protokol HTTP, bukan HTTPS. HTTPS itu versi amannya dari HTTP.
HTTPS itu, kata Charles dapat mengenkripsi komunikasi. Oleh karena itu, jika itu HTTP maka segala komunikasi antara klien dan server itu akan menjadi publik sehingga potensi penyadapan data dan kebocoran data pun dapat terjadi.
Terlebih, situs web seperti milik Dinsos yang memiliki laman login, yang meminta warga memasukkan data-data pribadi untuk pembuatan akun seperti Nomor Induk Keluarga (NIK), nama, nomor ponsel, dan lain-lain.
"Itu rawan disadap datanya sehingga berpotensi terjadinya kebocoran data," ujar Charles saat dihubungi Cyberthreat.id, Rabu (28 Oktober 2020).
Oleh karena itu, Charles menilai seharusnya situs-situs yang meminta data sensitif menggunakan HTTPS untuk mengamankan datanya. Pasalnya, kata Charles, memasang Transport Layer Security (TLS) — protokol yang digunakan mengenkripsi komunikasi dalam HTTPS — tidak memakan waktu, alias bisa selesai dalam hitungan menit jika memang berniat menjamin keamanan data.
“Harusnya HTTPS, terutama dibutuhkan untuk yang mengisi data sensitif, kalau [situs] berita saja sih ya enggak perlu-perlu amat sih,” ujar Charles.
Charles pun menilai bahwa pemerintah kalau bisa dapat mengeluarkan kewajiban bahwa semua website harus HTTPS.
"Kalau bisa mewajibkan semua dari website sudah https, terlebih yang ada sistem login gitu, sehingga bisa terjamin. “ kata Charles.
Dihubungi secara terpisah, Sekretaris Indonesia Cyber Security Forum (ICSF) Satriyo Wibowo mengatakan hal yang sama dengan Charles. Seharusnya, jika situs itu meminta untuk mengisi data-data sensitif itu harusnya dilengkapi sertifikat keamanan TLS, artinya HTTPS bukan HTTP.
Pasalnya, kata Bowo, panggilan akrabnya, jika itu tidak dilengkapi TLS, maka rawan akan penyadapan data hingga kebocoran data.
"Iya, pasti rawan. Terutama untuk dynamic pages, data dua arah. Jadi pages yang merekam data dari client, misalnya login pages." kata Bowo kepada Cyberthreat.id, Rabu (28 Oktober 2020).
Cyberthreat.id pun telah menghubungi Dinas Sosial DKI Jakarta, tetapi belum mendapatkan tanggapan. []
Editor: Yuswardi A. Suud
Update:
Share:
