Tidak dipungkiri, laju perkembangan teknologi yang luar biasa di era
digital seperti saat ini memang banyak memberikan dampak positif. Namun dibalik
segala kelebihannya, sesuatu hal diyakini akan mendatangkan hal-hal negative juga.
Disatu sisi, teknologi mampu menghadirkan kecepatan pendistribusian informasi
yang luar biasa. Update peristiwa dilokasi tertentu, misalnya invasi Rusia ke
Ukraina, akan diketahui oleh public di belahan dunia lain. Dengan sekali klik,
video yang diunggah, akan dapat ditonton oleh jutaan bahkan milyaran umat
manusia di dunia. Namun, disisi lain, mengintip tindak kejahatan yang
berevolusi dalam bentuk kejahatan cyber. Salah satu cyber crime yang paling populer
adalah kebocoran data (data leak).
Salah satu peristiwa yang masih hangat dibicarakan dalam berbagai media terjadi di awal bulan Maret ini. Saat
para ASN sedang menikmati romantisme tanggal muda, tiba-tiba publik dihebohkan dengan berita tentang kebocoran data pengguna internet. Hal itu terungkap
setelah peneliti siber dari Singapura, DarkTracer, mempublikasikan laporannya
bahwa terdapat kebocoran data kredensial lebih dari 49 ribu situs pemerintah di
seluruh dunia. DarkTracer juga membuat daftar situs pemerintah dengan kebocoran
data paling banyak. Dari data tersebut, terdapat tiga situs pemerintah
Indonesia yang masuk dalam daftar 10 situs teratas, salah satunya melalui situs
Ditjen Pajak (djponline.pajak.go.id). Terdapat 17.585 data kredensial
untuk akses ke situs djponline.pajak.go.id yang bocor. Bukan hanya di situs
itu saja, kebocoran data milik wajib pajak juga terjadi di situs ereg.pajak.go.id.
Namun kemudian secara resmi Direktur Penyuluhan, Pelayanan dan Hubungan
Masyarakat (P2Humas) DJP menenangkan public melalui keterangan persnya pada
tanggal 3 Maret 2022. Juru bicara Ditjen Pajak tersebut menyampaikan bahwa
kebocoran data bukan berasal dari system internal DJP, melainkan berasal dari
perangkat pengguna (user) yang terinfeksi malware, yang kemudian digunakan
untuk masuk ke dalam situs pemerintahan. DJP pun menyarankan agar pengguna
situs DJP dan wajib pajak secara luas segera mengganti kata sandi dengan yang
lebih kuat dan aman secara berkala. Huffhhh…melegakan sekali.
Jika menengok 2 bulan ke belakang, tepatnya di minggu pertama Januari 2022,
DarkTracer juga melaporkan bahwa sebanyak 40.629 pengguna internet di Indonesia
terinfeksi Stealer seperti Redline, Raccoon, Vidar dan lainnya. Selain itu,
terdapat 502 ribu lebih data kredensial untuk akses ke domain .id (dot id) yang
bocor dan didistribusikan melalui situs gelap. Data kredensial pengguna
yang bocor tersebut tidak hanya data pengguna yang mengakses ke sejumlah situs
pemerintahan saja seperti Kemdikbud, BKN, Ditjen Pajak, dan BPJS Ketenagakerjaan. Namun kebocoran juga sudah merambah ke data user yang mengakses beberapa aplikasi
e-commerce seperti Shopee dan Lazada.
By the way, kenapa sih kok bisa data yang sebegitu penting bisa bocor? Dilansir
dari situs UpGuard terdapat enam penyebab paling umum terjadinya kebocoran data di 2021,
diantaranya kesalahan konfigurasi software, penipuan melalui rekayasa sosial (social engineering), password atau kata sandi yang digunakan berulang, pencurian
barang yang mengandung data sensitif, kerentanan perangkat lunak, dan
penggunaan kata sandi bawaan (default
password).
Harus dipahami bersama bahwa kebocoran data sangat erat hubungannya dengan pembobolan data. Ketika data
tanpa sengaja terekspos ke internet ataupun situs yang tidak aman, seorang
peretas dengan senang hati akan segera mengakses informasi pribadi Anda untuk melakukan pembobolan data (data breach). By the way, kenapa sih kok bisa data yang sebegitu penting
bisa bocor?
Jika kita perhatikan, banyak faktor yang berpotensi menjadi penyebab
kebocoran data. Dari beberapa literatur, penulis mengelompokkan faktor-faktor
tersebut menjadi 3 penyebab utama kebocoran data, yaitu faktor kesalahan manusia (human error),
serangan Malware (malicious software), dan manipulasi psikologis melalui
social engineering.
Pertama, human error. Fitrah
manusia yang hobi mempraktekkan kebiasaan ekonomis diantaranya
dengan mencari free software atau
aplikasi bajakan (yang biasanya
memberikan iming-iming free trial
atau bonus-bonus lainnya) “memaksa” kita untuk secara suka rela memasukkan data pribadi berupa
nomor telp di situs atau aplikasi yang tidak terjamin keamanannya. Dan tanpa kita sadari, hal ini sering kita lakukan.
Kedua, serangan malware. Acap juga kita lalai dan tidak teliti dalam menerima maupun mengirim
email, yang berpotensi menjadi pintu masuk malware. Malware pada dasarnya
adalah program yang dirancang untuk merusak dengan menyusup ke system computer.
Salah satu jenis malware yang berbahaya yaitu spyware. Menurut salah satu vendor
antivirus yang sudah mendunia, Kaspersky, spyware merupakan software yang didesain
untuk masuk ke dalam perangkat komputer. Spyware mempunyai kemampuan mengumpulkan data-data pribadi user dan mengirimnya kepada pihak ketiga tanpa
persetujuan user. Jahat sekali kan?
Ketiga, social engineering yaitu penggunaan manipulasi psikologis untuk
mengumpulkan data sensitif seperti nama lengkap, username, password, dan sebagainya melalui media
elektronik dengan menyamar sebagai pihak yang dapat dipercaya. Biasanya phishing memanfaatkan email untuk mengelabui korbannya. Email yang
dikirimkan pelaku dapat berisi sesuatu yang mengatasnamakan pihak tertentu dan
memancing korban untuk meng-klik tautan yang tercantum di dalamnya. Malah
penulis beberapa kali mendapatkan sms yang berisi tautan dengan iming-iming
bonus pulsa, bisa jadi sms dengan tautan tersebut merupakan kail untuk
memancing “ikan-ikan” yang tergoda dengan umpan yang melambai-lambai
memanggil-manggil untuk di klik.
Terlepas dari faktor-faktor utama
tersebut, mungkin kita telah mengetahui tips-tips “normatif” untuk menghindari
kebocoran data, yang bisa kita temukan di berbagai website maupun platform media
social. Namun, apa yang harus kita lakukan jika sebuah data website sudah
bocor? Langkah mitigasi yang paling cepat dan praktis yaitu, segera meng-update
dan mengubah password akun user. Ibarat sebuah pintu, jika ada pelaku criminal yang
sudah menduplikasi kunci tersebut, maka cara paling ampuh dan cepat yang bisa
dilakukan empunya pintu yaitu langsung mengganti set pintu dengan yang baru. Cara
tersebut disinyalir menjadi cara paling ampuh dan bisa dilakukan secara mandiri.
Memang, teknologi yang semakin
maju disatu sisi akan semakin memudahkan manusia. Namun disisi lain, ancaman terhadap
keamanan penggunaan teknologi juga semakin berevolusi. Bagaimana menyikapinya? Tidak perlu paranoid atau kekuatiran yang
berlebihan, yang penting tetap
hati-hati dan waspada. Makanya bro, sayangi data pribadimu mulai
sekarang. Karena privacy adalah privilege yang tidak akan pernah bisa ditukar
dengan nominal berapa pun saja.
(Penulis: Mahmud Ashari, Kepala
Seksi Hukum dan Informasi KPKNL Kisaran)