Peringatan situs untuk pendaftaran warga miskin DKI Jakarta tidak aman dan berpotensi terjadinya pencurian data oleh peretas. | Tangkapan layar Cyberthreat.id/Yuswardi
Peringatan situs untuk pendaftaran warga miskin DKI Jakarta tidak aman dan berpotensi terjadinya pencurian data oleh peretas. | Tangkapan layar Cyberthreat.id/Yuswardi
Cyberthreat.id – Dinas Komunikasi dan Informatika DKI Jakarta buka suara terkait dengan alamat situs web pendaftaran warga miskin (https://s.id/ugAHt) yang masih memakai protokol Hypertext Transfer Protocol (HTTP).
Pejabat siber dan Sandi Diskominfo DKI Jakarta mengatakan bahwa Pusdatin Dinsos DKI Jakarta sejak awal pembuatan domain itu berjalan tanpa koordinasi dengan kantornya.
Begitu aplikasi situs webnya selesai, kata pejabat itu, barulah mereka berkoordinasi dengan Diskominfo.
"Jadi, Dinsos pada saat pembuatan usulan alamat itu enggak koordinasi [sama Diskominfo]," kata pejabat yang tak mau disebutkan namanya karena alasan struktural saat dihubungi Cyberthreat.id, Rabu (4 November 2020).
Pada hari yang sama, Cyberthreat.id telah menemui Kepala Tata Usaha Pusat Data dan Informasi Jaminan Sosial Dinsos DKI Jakarta, Gema. Jawaban Gema ketika ditanya terkait protokol HTTP itu justru menyarankan untuk menanyakan hal itu ke Diskominfo.
Gema juga mengatakan, ke depan Dinsos akan berkoordinasi lebih lanjut terkait pengelolaan situs web itu ke Diskominfo. “Nanti kami akan koordinasi [dengan Diskominfo] supaya diubah saja ke HTTPS,” ujar dia.
Berita Terkait:
Dalam pantauan Cyberthreat.id, situs web tersebut meminta agar warga mengisi sejumlah data penting, seperti Nomor Induk Kependudukan (NIK), nama lengkap, alamat email, nomor telepon, dan kata sandi. Berikut ini tangkapan layar formulir yang harus diisi:
Tangkapan layar dari situs web pendafataran warga miskin DKI Jakarta. | Foto: Cyberthreat.id/Yuswardi
Situs web yang aman biasanya ditandai dengan tulisan "HTTPS" (Hypertext Transfer Protocol Secure) sebelum nama domain. Ini berarti protokol komunikasi ini dilapisi dengan Secure Socket Layer (SSL/TLS).
Dengan protokol HTTPS memungkinkan komunikasi data antara web client dan web server terenkripsi. Data yang tidak terenkripsi akan mudah dibaca peretas.
Memang, meski sebuah situs web telah menerapkan HTTPS, bukan berarti aman dari peretas. Hanya, tingkat keamanannya tentu saja berbeda.
Pakar keamanan siber Charles Lim mengatakan, agar pemilik situs web harus selal berhati-hati, jangan sampai lengh, meski sudah menggunakan protokol HTTPS.
Kemungkinan peretasan, katanya, masih bisa terjadi meski bukan dari segi situs webnya. "Kalau hack itu menyerang: people, process, dan technology. Tinggal kita lihat saja: mana yang lemah yang diserang itu,” ujarnya. (Baca: Situs Pendaftaran Warga Miskin DKI Tak Aman, Ini Beda HTTP dan HTTPS dalam Mengamankan Data)
SSL belum multilevel
Pejabat Diskominfo itu menuturkan, setelah situs web pendaftaran warga miskin selesai, ternyata memiliki dua level. Sementara, sertifikat keamanan yang dimiliki Diskominfo untuk membuat situs web itu berubah memakai protokol “HTTPS” tidak menunjang dua level.
Alamat situs web tersebut yakni http://fmotm.pusdatin-dinsos.jakarta.go.id/. Dua level yang dimaksud itu adalah setelah kata “fmotm” ada dot [.] dan setelah “dinsos” ada dot kembali.
Kendati alamat dua level dan SSL milik Diskominfo hanya mendukung satu level, akhirnya situs itu tidak bisa dibuat menjadi HTTPS oleh Diskominfo.
"Terus terang, HTTPS di kami ini masih terbatas di satu level. Satu level subdomain, sedangkan yang diajukan dua level, ada titik lagi di tengah-tengah, di kami tidak bisa seperti itu," katanya.
Diskominfo pun mengatakan kantornya baru mau memperbarui SSL-nya jadi multilevel sehingga dapat mendukung dua level.
"Sebenarnya kami baru mau beli tahun ini atau tahun depan ya untuk multilevelnya, tapi berhubung ada pandemi segala macam, katalog juga lagi tutup, kami enggak bisa milih penyedianya," kata pejabat itu.
Lebih lanjut, Diskominfo pun mengklaim telah menyampaikan kendala itu (protokol HTTP) ke Pusdatin Dinsos, hanya Dinsos sudah telanjur sosialisasi dengan alamat itu sehingga dengan “terpaksa” alamat web tersebut dipublikasikan.
"Sebenarnya kami enggak mau naikkan, didesak terus karena ini enggak tahu ada kebutuhan khusus kayaknya. Akhirnya ya sudah kami terima," ujar dia.
Ia juga menegaskan, selain faktor kejar tayang, situs web ini juga dari awal tidak melewati berbagai tahapan proses yang biasanya dilewati ketika pembuatan aplikasi.
"Biasanya ya pembuatan aplikasi itu kan ada koordinasi, rekomendasilah. Jadi, nanti akan seperti apa, ditaruh di mana, pengamananya seperti apa, biasanya juga diuji coba. Nah ini enggak melewati itu, karena kebutuhan mendesak," ujarnya.
Namun, saat ini Diskominfo tengah berupaya mengakali situs webnya agar ketika dikunjungi, pengunjung langsung teralihkan ke situs lebih aman yakni menggunakan protokol HTTPS.
"Enggak bisa ngerubah alamat, alamatnya enggak bisa disesuaikan, makanya kalau gitu ya sudah kita yang redirect nanti diakali. Dibikin satu level. Jadi, orang mengakses alamat sekarang, tapi di-redirect ke satu level di situlah HTTPS-nya" ujarnya.
Pejabat tersebut berharap dengan kondisi saat ini tidak ada kebocoran data akibat penggunaan HTTP ini. "Mudah-mudahan enggak ada yang bocor kemana-mana datanya," ujar dia.[]
Redaktur: Andi Nugroho
Update:
Share:
