Cyberthreat.id - Situs web milik pemerintah Kota Yerussalem, Israel, dikabarkan tanpa sengaja membuat data pribadi ratusan ribu warganya terekspos dan dapat diakses secara online oleh pihak lain.

Dilansir dari The Jerussalem Post, kebocoran data itu ditemukan oleh Hezkiyahu Raful, seorang programmer, ketika dia mencoba membantu pamannya mengajukan banding soal tilang parkir. Lantaran tidak menemukan tombol 'unduh' saat mencari foto tilang parkir, Raful mencoba mencarinya di deretan kode sumber website milik pemerintah Kota Yerussalem yang beralamat di https://www.jerusalem.muni.il.

Saat itulah dia melihat bahwa URL memiliki ID numerik di bagian akhir. Hanya dengan mengubah nomor di bagian belakang URL itu, Raiful bisa menemukan tiket parkir lain milik warga kota lainnya.

Selain kelemahan keamanan itu, Raful menemukan bahwa dengan mengubah nomor di tengah URL ia dapat mengakses file gedung, tiket, file pajak dan "dokumen apa pun yang diterbitkan atau diterima pemerintah kota," kata Raful.

Raful juga menemukan bahwa tautan itu tersedia untuk diakses publik, sehingga peretas tidak memerlukan upaya tambahan apa pun untuk megakses tautan itu.

Raful segera menghubungi Direktorat Siber Nasional dan memberi tahu mereka tentang kelemahan itu. Meskipun disebutkan cacat itu telah diperbaiki, namun situs web tersebut belum dapat diakses hingga Jumat malam (25 Desember 2020).

Penemuan itu terjadi setelah serangkaian serangan siber yang menargetkan perusahaan di Israel.

Awal bulan ini, ribuan dokumen yang berisi informasi pribadi warga Israel dan pejabat pemerintah dibocorkan dan dijual setelah perusahaan asuransi Shirbit menjadi sasaran serangan ransomware oleh kelompok bernama Black Shadow. (Baca: Perusahaan Asuransi Israel Dihantam Hacker Black Shadow, Minta Tebusan 50 Bitcoin)

Kurang dari dua minggu kemudian, serangan dunia maya lainnya menargetkan perusahaan perangkat lunak Amital, yang menyediakan solusi perangkat lunak untuk pengurusan bea cukai. Tidak jelas apakah terjadi kerusakan atau jika data bocor dalam insiden tersebut. (Lihat: Amital Data Diretas, Lusinan Perusahaan Logistik Israel Alami Serangan Siber Parah)

Pada hari Minggu, serangan dunia maya lainnya dilaporkan setelah kelompok peretas bernama Pay2Key mengumumkan bahwa mereka telah meretas perusahaan pertahanan kekuatan udara Israel terbesar, Israel Aerospace Industries.

Perusahaan keamanan TI, Check Point, menerbitkan laporan sebelumnya pada bulan Desember bahwa 141 perusahaan Israel telah mengalami serangan siber pada bulan November dan 137 serangan lainnya pada bulan Oktober.

“Mungkin harus ada undang-undang yang mewajibkan mereka melakukan tes (keamanan),” kata Raful.

“Saya tidak mencoba membobol mereka, saya tidak melakukan phishing dan kemudian berhasil. Saya hanya melihatnya. Bagaimana jika besok saya sangat bosan, dan saya tidak mencoba membantu paman saya tetapi mencoba membobol mereka?" tambahnya.

Raful menekankan bahwa insiden itu tidak kalah seriusnya dengan serangan Shirbit, karena informasi yang terungkap termasuk ID dan dokumen pajak kota.

Direktorat Siber Nasional Israel mengatakan telah meneruskan laporan itu pemerintah kota Jerussalem.

"Sebagai bagian dari rencana baru direktorat, organisasi dapat meminta perusahaan hosting dan/atau perusahaan pembuat situs web mereka untuk memenuhi standar keamanan informasi direktorat dan bahkan label hosting direktorat," kata Direktorat Siber Nasional

"Pagi ini, Kotamadya Yerusalem menerima pembaruan dari direktorat dunia maya tentang kerusakan teknis, yang segera diatasi," kata pemerintah kota.[]