Beberapa tahun terakhir setidaknya ada satu kejadian peretasan cukup besar yang muncul hampir setiap tahun. Beberapa hari yang lalu ada Tokopedia dan Bhinneka. Tahun lalu ada Bukalapak. Ada juga celah yang ditemukan di Gojek yang mengekspos data para penggunanya beberapa tahun silam.
Kejadian-kejadian tersebut tentu membuat banyak orang bertanya ada apa dengan keamanan perusahaan internet di Indonesia. Rentetan insiden ini pun menjadi sebuah momen yang tepat bagi para platform digital di Tanah Air untuk melihat kembali apa yang sudah mereka lakukan dalam mengamankan data penggunanya.
Insiden Tokopedia
Sebuah email dari Tokopedia atas nama Founder & CEO William Tanuwijaya mendarat di kotek surel pengguna Tokopedia pada 12 Mei 2020 atau sekitar 10 hari ketika pembobolan data di Tokopedia terkuak ke publik. Surat itu kurang lebih berisi ucapan William untuk meyakinkan para pengguna bahwa mereka sudah mengambil langkah-langkah yang diperlukan untuk mengatasi kasus pencurian data itu.
Surat dari William tersebut tak mengherankan karena tingkat kegawatan yang terjadi memang sebesar itu. Data dari sekitar 91 juta pengguna dijual secara ilegal oleh peretas yang mencurinya. Data itu terdiri nama lengkap, alamat email, nomor telepon, tanggal lahir, hingga kata sandi yang beruntung masih terlindungi (hashed).
“Kami memahami bahwa kejadian ini telah menimbulkan ketidaknyamanan pada seluruh pengguna. Maka dari itu, kami ingin mengucapkan terima kasih yang sebesar-besarnya kepada seluruh pengguna Tokopedia atas dukungan Anda yang tiada henti kepada kami di tengah tantangan kali ini,” pungkas William dalam surat itu.
Rentang waktu dari terkuaknya pencurian data sampai surat William memakan waktu 10 hari. Mereka mengerahkan tim internal dan eksternal serta menggandeng Badan Siber dan Sandi Negara (BSSN) untuk menginvestigasi kasus ini. Namun hingga sekarang belum terdengar ada kabar lanjutan tentang investigasi tersebut ke telinga pengguna.
Melacak Sebab
Sebuah kemungkinan penyebab dari kasus Tokopedia muncul ke permukaan dari mulut Teguh Aprianto, pendiri dan ketua umum Ethical Hacker Indonesia. Dalam wawancaranya dengan Nathaniel Rayestu di Asumsi Bersuara beberapa hari lalu, Teguh menyebut program bug bounty yang tidak dilakukan secara sungguh-sungguh oleh Tokopedia sebagai penyebab pembobolan data di sana.
Program bug bounty adalah semacam sayembara yang mengundang para peneliti keamanan berlomba-lomba mencari dan menemukan bug di situs web, software, atau aplikasi. Sebagian besar perusahaan internet besar di Indonesia punya program ini.
Hanya saja dalam kasus Tokopedia, Teguh mengatakan perusahaan e-commerce itu tak setia dengan program bug bounty yang mereka buat. Hal itu terjadi karena ketika ada laporan penemuan bug yang dikirim, pihak Tokopedia menyebut tim internal mereka sudah menemukannya lebih dulu.
“Misal hari ini gue lapor ke Tokopedia, nanti beberapa hari kemudian ada balasan dari Tokopedia isinya ‘kami sudah menemukan dari internal kita’. Kalau sudah ditemukan oleh internal, masa sudah berbulan-bulan enggak diatasi. Dan ini berulang kali kejadian. Mekanisme yang mereka lakukan ini tidak jelas, tidak ada tranparansinya,” ucap Teguh.
Teguh menyebut kasus pencurian data di Tokopedia sudah terjadi sekali sebelumnya. Sejak kejadian pertama itu, ia dan komunitas bug hunter sudah memperkirakan ada bom waktu yang berpotensi berdampak serupa. Penyebab di kasus Tokopedia itu disebut tak berbeda dengan kasus Bukalapak yang mencuat tahun lalu.
“Tokopedia dan Bukalapak itu dua company yang menjalankan program bug bounty. Tapi problemnya company ini sudah di-blacklist oleh peneliti atau bug hunter karena laporan yang masuk enggak ditangani secara profesional,” imbuhnya.
Kami menghubungi Tokopedia dan Bukalapak untuk menggali lebih jauh soal penyebab kebocoran data yang menimpa mereka. Hasilnya, Tokopedia menolak berkomentar. Sementara itu Bukalapak mengaku tak tahu ada pihak yang memasukkan mereka ke daftar hitam untuk urusan bug bounty.
“Kami tidak mengetahui tentang adanya blacklist pada program bug bounty komersial manapun. Kami memiliki program bug bounty dengan tingkat partisipasi luar biasa yang membantu kami meningkatkan keamanan platform,” tulis Head of Corporate Communication Bukalapak Intan Wibisono kepada DailySocial.
Kami berbicara lebih lanjut dengan Girindro Pringgo Digdo, CEO CyberArmyID, sebuah perusahaan keamanan siber yang menghubungkan bug hunter dengan perusahaan atau organisasi yang membutuhkan. Dari pengalamannya, Girindro mengatakan memang ada dilema yang kerap dihadapi oleh bug hunter dalam program bug bounty.
Dilema yang dimaksud Girindro, senada dengan narasi Teguh sebelumnya, hasil kerja bug hunter sudah diklaim ditemukan internal perusahaan lebih dulu. Girindro menegaskan hal itu sudah sering terjadi. Perkara temuannya adalah duplikasi atau tidak, menurut Girindro, hal itu keputusan sang bug hunter.
“Kalau bug hunter tidak puas atas temuan yang disebut duplikat terus, menurut saya lebih baik main di tempat lain saja. Enggak usah ikut di tempat itu lagi,” jelas Girindro.
Kendati demikian Girindro mengakui, berdasarkan pengalamannya, cukup banyak aplikasi milik perusahaan lokal yang punya banyak celah sehingga rentan dieksploitasi. Hal itu, menurut Girindro, cukup menjadi alasan bagi semua entitas di Indonesia mempersiapkan aspek sumber daya manusia, prosedur kebijakan, dan teknologi untuk mengamankan data pengguna mereka.
“Kalau bicara keamanan, apalagi yang asetnya sudah tinggi, keamanan itu harusnya sudah bukan beban, melainkan prioritas bisnis,” ungkapnya.
Sekali lagi, kita butuh UU PDP
Jika ada satu hal yang perlu dilakukan pemerintah dan wakil rakyat di parlemen dalam menyikapi rentetan kasus pembobolan data di perusahaan internet kita adalah mempercepat pengesahan RUU Perlindungan Data Pribadi sebagai undang-undang.
Setiap kali ada kasus pencurian data itu, pengguna yang sudah dirugikan seolah punya kuasa untuk menuntut keamanan data yang mereka amanatkan kepada penyedia layanan digital.
Berdasarkan draf per Desember 2019, RUU PDP memuat 72 pasal dan 15 bab mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, dan penyelesaian sengketa. Selain itu, mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.
Ketika beleid itu sah menjadi UU, kuasa masyarakat sebagai konsumen dan warga negara atas data mereka akan lebih kuat dari sebelumnya.
“Refleksi atas pelaksanaan hukum digital perlu menjadi pertimbangan dalam menentukan sanksi hukum yang tepat bagi mereka yang melakukan pelanggaran data pribadi,” tukas Direktur Eksekutif SAFEnet Damar Juniarto beberapa waktu lalu.
Sementara itu, Teguh menambahkan memang ada aspek edukasi publik yang harus berjalan beriringan dengan proses legislasi RUU PDP. Namun ia menegaskan dalam situasi saat ini RUU PDP lebih dibutuhkan.
“Kalau dibanding dua-duanya, menurut gue lebih butuh UU PDP karena awareness publik itu butuh waktu lebih lama,” pungkas Teguh.