Ardi Sutedja ICSF: Cermati.com Harusnya Enkripsi Semua Data Pengguna
Ketua Indonesia Cyber Security Forum (ICSF), Ardi Sutedja
Cyberthreat.id - Ketua Indoesia Cyber Security Forum (ICSF) Ardi Sutedja menyesalkan pihak platform penyedia jasa keuangan cermati.com tidak mengenkripsi data penggunanya. Ardi pun mempertanyakan komitmen perusahaan itu dalam menerapkan prinsip keamanan siber yang mengutamakan Confidentiality, Integrity & Availability (CIA).
"Harus dilihat pengalaman sumber daya manusianya di bidang keamanan sibernya. Bagaimana juga sertifikat profesinya," kata Ardi saat dihubungi Cyberthreat.id, Minggu (1 November 2020).
Pernyataan Ardi ini terkait pembobolan data pengguna Cermati.com yang ditawarkan di forum peretasan online. Pelaku mengaku memiliki 2,9 juta basis data milik pengguna Cermati.com. Diunggah pada 28 Oktober 2020 dengan judul “Exclusive Private Databases”, penjual menampilkan sejumlah sampel data untuk meyakinkan calon pembeli. (Baca: Data 2,9 Juta Pengguna Dijual di Forum Peretasan, Cermati.com Akui Ada Akses Tidak Sah).
Cermati.com telah mengonfirmasi adanya "akses tidak sah" ke database mereka. Sayangnya, Cermati.com tidak merincikan data apa saja yang digondol peretas. Dalam email yang dikirim ke penggunanya pada 31 Oktober 2020, Cermati mengatakan kata sandi untuk login ke akun pengguna dilindungi oleh algoritma enkripsi Bcrypt.
Berdasarkan sampel data yang diunggah, basis data milik pengguna Cermati.com yang ditawarkan berupa alamat email, password yang terlindungi algoritma Bcrypt, nama, alamat, telepon, pendapatan, bank, nomor pajak, nomor identitas, jenis kelamin, pekerjaan, perusahaan tempat bekerja, dan nama gadis ibu kandung.
Menurut Ardi Sutedja, meskipun dilindungi dengan Bcrypt, peretas masih bisa membuka atau mendekripsi kata sandi mengingat adanya perangkat lunak untuk membuka kata sandi yang dilindungi algoritma Bcrypt.
“Itu masih bisa dibuka karena peretas juga mengikuti perkembangan dan juga pandai untuk menghilangkan jejaknya,” kata Ardi.
Menurut Ardi, pihak perusahaan seharusnya mengenkripsi seluruh data pribadi penggunanya atau yang dikenal dengan istilah personally & identifiable information (PII). Hal itu lantaran data pribadi itu bisa disalahgunakan oleh orang yang tidak bertanggung jawab.
“Bisa dipergunakan untuk fraud,” ujar Ardi.
Terkait bocornya data nama gadis ibu kandung, kata Ardi, jika dikombinasikan dengan lainnya akan lebih lebih berbahaya jika disalahgunakan.
“Itu kan di kegiatan yang berhubungan dengan perbankan diperlukan. Kalau sudah dicompromise selesai sudah,” kata Ardi.
Saat ditanya terkait apa yang harus dilakukan pengguna Cermati.com yang terdampak, Ardi mengatakan, jika data sudah bocor dan dikuasai pihiak lain, maka tidak ada yang bisa diselamatka lagi.
“Ini realita yang diabaikan,” ujarnya.
"Ya klau PII sudah compromise kita mau gimana lagi, masak ganti KTP, ganti NIK ganti nama ibu kandung, ganti KK, pergi ke pengadilan buat perubahan status kependudukan dan sebagainya?,” ujarnya.
"90% masyarakat masih menyepelekan hal ini karena memang masa bodo, padahal kalau mereka kena akan sangat merepotkan “ kata Ardi.
Ardi juga menyesalkan pihak Cermati.com tidak merincikan kepada penggunanya data apa saja yang dibobol peretas. Padahal, kata dia, itu penting bagi pengguna untuk langkah mitigasi.
"Di komunikasi publik ada prinsip,'telling the truth, nothing but the truth'. Nah, kalau ini saja tidak dipahami maka sulit bagi kita untuk bisa percaya dengan kredibilitas dan reputasi perusahaan untuk ke depan, karena masyarakat juga tidak bego-bego amat untuk dapatkan informasi yang akurat di era digital dan media sosial,” ujarnya.
Ardi pun mengatakan saat ini harusnya ada efek jera yang bisa diterapkan, yakni melalui Undang-undang Perlindungan Data Pribadi (PDP), hanya saja itu masih berbentuk Rancangan UU (RUU) dan masih dalam pembahasan.
"Harus ada efek jera yang bisa diterapkan. Nah, ada yngg berani nggak untuk kreatif menafsirkan pasal-pasal hukum yang ada dan bisa diterapkan kepada para PSE (Penyelenggara Sistem Elektronik)?” ujarnya.
Ardi mengatakan dalam RUU PDP diatur sanksi hukum dendanya sangat fantastis. Dengan begitu, kata Ardi, penyelenggara sistem elektronik harus investasi sangat besar untuk memastikan data-data mereka tidak bocor keluar.
“Inilah tantangan yang sebenarnya,” ujarnya.
"Era bulan madu industri digital dan transformasi digital sudah lewat dua tahun yang lalu dan kepedulian perusahaan digital untuk mampu melindungsi aset kritis mereka akan jadi taruhan reputasi untuk bisa bertahan memasuki fase berikutnya.” kata Ardi.[]
Editor: Yuswardi A. Suud
Berita terkait:
- Begini Respon Pengguna Cermati.com Saat Tahu Data Pribadinya Bocor
- Data 2,9 Juta Pengguna Dijual di Forum Peretasan, Cermati.com Akui Ada Akses Tidak Sah
- Ini Dia Sampel Data Pengguna Cermati.com yang Diretas dan Dijual Hacker
- Alfons Vaksincom: Cermati.com Harusnya Transparan Soal Data Pengguna yang Bobol
