Ada Bug di Aplikasi Sensus Penduduk, BPS: Sudah Ditambal!

Andi Nugroho, Tenri Gobel
 Jumat, 21 Februari 2020 - 17:26 WIB   1956

Ilustrasi | Foto: freepik.com

Jakarta, Cyberthreat.id – Ada sejumlah kerentanan (bug) yang ditemukan tim penguji keamanan aplikasi Sensus Penduduk 2020 Online.

Namun, Badan Pusat Statistik Republik Indonesia menyatakan, sejak aplikasi dibangun pada 2018 dan dilakukan pengujian keamanan, kerentanan-kerentanan tersebut telah ditambal segera.

Direktur Sistem Informasi Statistik BPS Dr. Muchammad Romzi mengatakan, pengujian keamanan aplikasi (penetration testing) dibantu oleh BPS Australia (Australian Bureau of Statistic), Badan Siber dan Sandi Negara (BSSN), dan pakar keamanan siber.

“Ada rekomendasi yang disampaikan [dari mereka] dan itu semua kami implementasikan,” ujar Romzi dalam pernyataan tertulisnya kepada Cyberthreat.id yang diterima Jumat (21 Februari 2020).

Sejumlah kerentanan yang ditemukan, menurut Romzi, antara lain:

  • CAPTCHA yang tidak terbaca
  • special character yang tidak terbaca
  • nomor berawalan digit 9 yang tidak terbaca sempurna
  • potensi kerentanan password yang lemah, dan

Dari salah satu kerentanan itu, Romzi menekankan pada kelemahan pada kata sandi (password). Alasannya, jika terjadi serangan brute-force di halaman password, maka penyerang mudah menembusnya.

Namun, Romzi mengatakan, kerentanan itu telah diatasi. “Solusinya dengan menerapkan kombinasi huruf dan nomor serta menambahkan CAPTCHA di halaman password,” kata dia.

Sekadar diketahui, CAPTCHA kependekan dari Completely Automated Public Turing test to tell Computers and Humans Apart. Sistem elektronik ini dibuat untuk memvalidasi apakah pengakses sistem informasi tertentu adalah pengguna asli (manusia) atau robot spam. CAPCTHA sendiri terdiri atas huruf dan angka sebagai validasinya. Bentuk paling umum adalah gambar dengan beberapa huruf terdistorsi. Juga, memilih berbagai gambar sesuai tema pertanyaan.

“CAPTCHA digunakan pada berbagai situs web yang ingin memverifikasi bahwa pengguna bukan robot. Pertama dan terpenting, CAPTCHA digunakan untuk memverifikasi jajak pendapat online,” tulis Panda Security, produsen perangkat lunak antivirus juga konsultan cybersecurity asal Spanyol.

Berita Terkait:

Sumber: BPS Pusat RI

Skenario terburuk

Ditanya tentang skenario terburuk apa yang bakal terjadi jika kerentanan tersebut tidak ditambal, Romzi menjelaskan pada kasus CAPTCHA.

“Tidak adanya CAPTCHA di halaman password membuat brute force menjadi mungkin untuk dilakukan, dan lemahnya password memungkinkan untuk password dapat diketahui dengan lebih mudah,” ujar Romzi.

Serangan brute-force adalah upaya memecahkan karta sandi atau nama pengguna (username) dengan pendekatan coba-coba sehingga menebak dengan benar. “Ini metode serangan lama, tapi masih efektif dan populer di kalangan peretas,” sebut Kaspersky.

Menurut perusahaan keamanan siber Rusia itu, menebak kata sandi tertentu bisa memakan waktu lama. Jadi, peretas mengembangkan alat untuk melakukan pekerjaan lebih cepat, yaitu kamus kata sandi. “Beberapa peretas menjalankan kamus dengan special and numerals characters atau menggunakan kamus kata khusus,” tutur Kaspersky.

Untuk membuat kamus kata sandi itu, peretas bisa saja membeli dari kata-kata sandi yang dijual di forum-forum bawah tanah. Mencari dengan kata-kata tersebut hingga menemukan kecocokan. 

“Alat otomatis juga tersedia untuk membantu serangan brute-force, seperti Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng, dan Rainbow. Banyak yang dapat menemukan kata sandi kamus tunggal dalam satu detik,” tulis Kaspersky.

Oleh karenanya, Romzi menuturkan, tim TI BPS dibantu BPS Australia, BSSN, juga pakar keamanan siber dari Indonesia dan Jepang hingga kini masih terus melakukan audit keamanan aplikasi setiap hari.

Apakah ada percobaan serangan ke aplikasi, Romzi menuturkan, “Hingga kini masih belum ada insiden berarti yang terjadi,” tutur dia. Namun, ia berharap sampai Sensus Penduduk 2020 selesai dilakukan tidak terjadi insiden siber apa-apa.[]

Redaktur: Andi Nugroho

Tags