Cyberthreat.id - Tepat pada hari terakhir batas waktu pendaftaran warga miskin Jakarta yakni 4 November 2020, situs web untuk pendaftaran dialihkan domain yang menggunakan Hypertext Transfer Protocol Secure (HTTPS). Sebelumnya, Pemprov DKI menggunakan protokol HTTP yang tidak aman dan berisiko terjadinya pencurian data.

Pihak Dinas Komunikasi dan Informatika DKI Jakarta pada pukul 15:36 WIB menginformasikan ke Cyberthreat.id bahwa pengalihan ini sudah berlangsung.

Pejabat bagian siber dan sandi Diskominfo DKI Jakarta mengatakan bahwa itu dilakukan atas inisiatif Diskominfo yang sedang melakukan penyisiran terhadap situs web milik DKI Jakarta yang masih HTTP.

"Kebetulan tempat kami baru audit ISO dan itu kita pas lagi beres-beres dokumen menemukan beberapa yang jaman dulu masih belum ada SSL, nah itu sudah kita sisir tuh, ternyata memang ada lumayan juga yang masih belum HTTPS, dan ini mungkin juga webnya sudah ada yang tidak update, rata-rata begitu." kata pejabat yang menolak namanya disebutkan karena alasan struktural, Rabu sore (4 November 2020).

"Terkait beres-beres itu, ditemukan beberapa, dicari yang paling muda, itu yang dibenahi dulu. Ini giliran, mudah-mudahan sebulan ini bersih lah, tidak ada http lagi," ujarnya.

Diskominfo pun belum memberitahu kepada pihak Dinsos bahwa sudah diredirect ke HTTPS.

"Kalau disampaikan lama lagi nanti, jadi mudah-mudahan nanti yang mengunjungi terbiasa dengan alamat https, meskipun http juga kan di-redirect ke https," ujarnya.

Saat dihubungi sebelumnya, pejabat tersebut mengatakan memang ada miskomunikasi antara pihaknya dengan Dinas Sosial terkait pengamanan situs untuk pendaftaran warga miskin Jakarta. Menurutnya, pihak Dinas Sosial sudah terlebih dahulu membuat situs tanpa pengamanan protokol HTTPS. Saat dikomunikasikan ke Pusdatin Dinas Sosial, kata pejabat itu, ternyata Dinas Sosial sudah terlalu sosialisasi pendaftarannya, sehingga dengan "terpaksa" alamat web itu dipublikasikan (Baca: Situs Web Pendaftaran Warga Miskin Terpaksa Pakai HTTP, Pejabat Diskominfo DKI Sebut karena Kebutuhan Kejar Tayang)

Dikonfirmasi terpisah,  Kepala Tata Usaha Pusat Data dan Informasi Jaminan Sosial Dinsos DKI Jakarta, Gema, tak bisa menjelaskan duduk perkaranya. Ia justru menyarankan untuk bertanya kepada Dinas Komunikasi dan Informatika DKI Jakarta.

Ia juga mengatakan, ke depan Dinsos akan berkoordinasi lebih lanjut terkait pengelolaan situs web itu ke Diskominfo.

“Nanti kami akan koordinasi [dengan Diskominfo] supaya diubah saja ke HTTPS,” ujarnya. (Lihat: Situs Web Pendaftaran Warga Miskin Jakarta Rentan Pencurian Data, Dinsos: Nanti Kami Ubah ke HTTPS)

Kini, berdasarkan pantauan Cyberthreat.id, situs itu berhasil dialihkan pada pukul 15:35 WIB. Saat membuka domain pendaftaran di http://fmotm.pusdatin-dinsos.jakarta.go.id/, kini pengunjung secara otomatis dialihkan ke https://fmotm.jakarta.go.id/.

Di domain baru ini, tidak ada lagi peringatan dari peramban Firefox atau Google Chrome yang menyatakan koneksi tidak aman seperti pada domain lama. Begitu pula tanda gembok bersilang merah yang menandakan koneksi tidak aman, tidak lagi muncul di bilah alamat domain.

Pada domain sebelumnya, peringatan yang muncul dari Google Chrome berbunyi,"Koneksi anda ke situs ini tidak aman. Anda sebaiknya tidak memasukkan data sensitif di situs ini (seperti password atau kartu kredit) karena dapat dicuri oleh penyerang." (Baca: DKI Jakarta Buka Pendaftaran Warga Miskin Online di Link Ini, Tapi Situsnya kok Tidak Aman?).

Peringatan koneksi tidak aman pada domain sebelumnya di htttp://fmotm.pusdatin-dinsos.jakarta.go.id

Munculnya peringatan itu tentunya menjadi rentan karena situs web itu meminta agar warga mengisi sejumlah data penting, seperti Nomor Induk Kependudukan (NIK), nama lengkap, alamat email, nomor telepon, dan kata sandi.

Situs web yang aman biasanya ditandai dengan tulisan "HTTPS" (Hypertext Transfer Protocol Secure) sebelum nama domain. Ini berarti protokol komunikasi ini dilapisi dengan Secure Socket Layer (SSL/TLS).

Dengan protokol HTTPS memungkinkan komunikasi data antara web client dan web server terenkripsi.  Data yang tidak terenkripsi akan mudah dibaca peretas.

Memang, meski sebuah situs web telah menerapkan HTTPS, bukan berarti aman dari peretas. Hanya, tingkat keamanannya tentu saja berbeda.

Pakar keamanan siber Charles Lim mengatakan, agar pemilik situs web harus selalu berhati-hati, jangan sampai lengah, meski sudah menggunakan protokol HTTPS.

Kemungkinan peretasan, katanya, masih bisa terjadi meski bukan dari segi situs webnya. "Kalau hack itu menyerang: people, process, dan technology. Tinggal kita lihat saja: mana yang lemah yang diserang itu,” (Lihat: Situs Pendaftaran Warga Miskin DKI Tak Aman, Ini Beda HTTP dan HTTPS dalam Mengamankan Data). []

Editor: Yuswardi A. Suud