Basis Data Pengguna Aplikasi PolisiKu Dijual Hacker, Pakar Siber: Polri Harus Segera Forensik Digital

Oktarina Paramitha Sandy
 Jumat, 27 November 2020 - 21:25 WIB   1821

Aplikasi PolisiKu | Foto: Google Play Store

Cyberthreat.id – Pakar forensik digital menyarankan agar Polri segera melakukan audit terkait dugaan penjualan basis data pengguna aplikasi PolisiKu.

Kepala Pusat Studi Forensika Digital UII Yogyakarta, Yudi Prayudi, mengatakan, dampak jebolnya basis data bisa sangat berbahaya bagi pengguna aplikasi.

"Polri sepertinya masih bernasib baik karena kelompok Hotjaking masih memiliki ‘empati’ dengan hanya woro-woro sistem Polri bisa dijebol hingga menunjukan basis data yang diretas," ujar Yudi kepada Cyberthreat.id, Jumat (27 November 2020).

Yang dikhawatirkan, kata Yudi, andaikata aplikasi PolisiKu ditempatkan pada server layanan hosting web bersama (shared web hosting service)—layanan untuk menampung banyak situs web berada di satu server web yang terhubung ke internet.

Jika kondisi seperti itu, kata dia, peretas yang menjebol sistem, memungkinkan untuk akses ke basis data lain.

Kebocoran basis data, secara umum bisa disebabkan banyak hal, mulai serangan brute-force, SQL injection, dan lain-lain. Apalagi jika aplikasi tersebut dibuat oleh pihak ketiga dan ditunjuk sebagai pengelola, ternyata melakukan kesalahan.

Untuk langkah penanganannya, Yudi menyarankan, Polri segera melakukan penetration test reguler untuk menemukan celah keamanan (bug). Selanjutnya, merilis perbaikan (patched) terhadap bug tersebut.

Berita Terkait:

Selain itu, ia menyarankan agar Polri memperbaiki infrastruktur jaringan komputer dan perangkat jaringan komputer, termasuk panduan penggunaan Open Web Application Security Project (OWASP), firewall, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), hingga dan peremajaan perangkat.

"Sistem perundangan-undangan telah memberikan penekanan kewajiban kepada setiap perusanaan/institusi untuk memastikan bahwa pengelolaan data-data yang berada dalam lingkup proses bisnisnya terjaga keamanan dan privasinya," ujar dia.

Yudi menambahkan sangat penting bagi pembuat aplikasi (developer) untuk memahami pengkodean yang aman (secure coding untuk dapat membuat software yang terlindungi dari adanya potensi kerentanan.

Menurut Yudi, tujuan secure coding adalah memfilter apa saja yang bisa diinput oleh pengguna dan memfilter apa saja yang diproses untuk ditampilkan.

Hal serupa juga disampaikan Pakar Teknologi Informasi Onno W. Purbo yang menyarankan agar Polri segera melakukan audit forensik digital atas dugaan kebocoran data aplikasi PolisiKu.

"Kita harus cek, lakukan forensik berdasarkan temuan, serta perencanaan apalagi yang harus diperkuat,” ujar Onno saat dihubungi Cyberthreat.id, Kamis (26 November).

Menurut Onno, penjualan basis data pengguna aplikasi PolisiKu tak hanya membahayakan anggota Polri, tetapi juga masyarakat yang pernah melakukan pengaduan melalui aplikasi Polisiku.

Menurut Onno, tingkat bahaya dari kebocoran data bergantung pada data apa yang simpan pada basis data tersebut.

"Kalau hacker-nya jago, bisa pula menyerang orang yang pernah lapor ke PolisiKu," ujar dia.

Karena aplikasi PolisiKu menyimpan data pribadi pegawai dan juga masyarakat yang melapor, dampaknya mereka bisa menjadi target ancaman siber.

Untuk itu, ia menyarankan para pengguna aplikasi PolisiKu agar lebih hati-hati. “Jangan pernah percaya ke orang yang ngaku-ngaku polisi dan lain-lain. Selalu lakukan cek dan ricek lagi,” ujar dia.

Baca:

Peretas Hojatking

Sebelumnya peretas (hacker) berjuluk Hojatking mengklaim telah memiliki basis data pengguna aplikasi Polisiku. Di RaidForums, ia menawarkan basis data tersebut seharga US$ 3.000 atau sekitar Rp 42,5 8 juta. “Sell database + exploit. Application is vulnerable,” tulis Hojatking yang mengunggah tawaran itu pada 23 November 2020.

Dalam tawaran itu, ia menjelaskan bahwa basis data itu ada beberapa macam, seperti tabel nama polres dan polda, daftar pengduan masyarakat, email, foto KTP, ponsel, domisili, dll.

Di situs web Polri.go.id disebutkan bahwa aplikasi Polisiku yang dapat diunduh di Play Store dan App Store dibuat untuk memberi kemudahan pelayanan kepada masyarakat; atau disebut Polri sebagai “aplikasi perantara bantuan polisi kepada masyarakat.”

Aplikasi tersebut memiliki fitur utama antara lain mencari pos polisi terdekat, selain itu memiliki fitur, antara lain:

  • melakukan panggilan telepon call center 110 melalui jaringan internet/VoIP
  • mencari pos polisi dan teleponnya di seluruh Indonesia
  • melakukan pengaduan masyarakat serta sarana penyaluran informasi dari humas polri kepada masyarakat
  • memberikan aspirasi melalui fitur Halo Polisiku
  • fitur layanan publik seperti SKCK online dan SIM online

Hojatking sudah aktif di RaidForums sejak Agustus 2019. Sebelumnya, pada Mei lalu, ia juga membikin geger karena menawarkan basis data Polri dan sempat dibantah Polri.

Namun, Hojatking tak mau kalah, ia pun menunjukkan video bagaimana dirinya mengakses basis data tersebut.

Dalam unggahan waktu itu, Hojatking mengklaim punya akses penuh ke basis data Polri juga mampu mengubah basis data tersebut.

Baca:

“Hai. Akses penuh ke basis data kepolisian Indonesia. Dengan kemampuan sebagai berikut: mengubah detail polisi, rekam lembur untuk polisi, hapus polisi dari basis data, tambahkan polisi ke basis data, pensiunan polisi...,” tulis Hojatking.

Harga akses data tersebut ditawarkan oleh peretas seharga US$ 1.200 (setara Rp 17 juta). Sementara, untuk informasi bug (celah keamanan) pada aplikasi dijual seharga US$ 2.000 (Rp 28,5 juta).

Temuan tersebut sempat direspons Kementerian Komunikasi dan Informatika RI sebagai berita hoaks. Respons pemerintah yang terlalu cepat itu pun menimbulkan tanda tanya, bahkan tim Kemenkominfo diam-diam menghapus konten tersebut.[]

Redaktur: Andi Nugroho

Tags