vpnMentor Soal Celah eHAC: Kami Tak Sengaja Menemukannya

Uzone.id - Pemerintah melalui Badan Siber dan Sandi Negara (BSSN) menegaskan jika tidak ada kebocoran data pada aplikasi eHAC. Hanya saja ditemukan celah yang rentan sehingga data-data itu berpotensi untuk bisa terekspos. vpnMentor merupakan pihak yang menemukan celah tersebut.

Dalam kesempatan wawancara khusus dengan Uzone.id, pihak vpnMentor mengaku mereka tidak sengaja menemukan celah tersebut. Kala itu, mereka hanya sedang melakukan proyek pemetaan web secara luas. Saat melakukan pemindai berskala besar, ditemukanlah database eHAC yang terbuka itu.

Baca juga: Kominfo Pastikan Data di PeduliLindungi Aman

"Tim peneliti vpnMentor menemukan database yang terbuka sebagai bagian dari proyek pemetaan web. Peneliti kami melakukan pemindaian berskala besar untuk mencari penyimpanan data yang tidak aman, yang berisi informasi yang tidak boleh terekspos. Kami tidak pernah melakukan penelitian secara sengaja dengan menargetkan institusi tertentu," ujar Lisa, salah satu tim riset vpnMentor, dalam balasan emailnya kepada Uzone.id, Jumat, 3 September 2021.

Oleh karena itu, saat ditanya mengenai pendapat mereka tentang keamanan siber di Indonesia, Lisa tidak bisa memberikan opininnya secara khusus. Yang jelas, kata dia, siapapun, baik itu pemerintah, perusahaan publik maupun swasta harusnya bisa lebih waspada terhadap resiko bahaya yang mengintai saat menciptakan sebuah aplikasi.

"Termasuk juga memperhatikan langkah-langkah keamanan yang penting demi menjaga keamanan informasi penggunanya," papar Lisa.

Baca juga: BSSN Tegaskan Tak Ada Kebocoran Data eHAC

Lebih lanjut dia juga mengimbau semua perusahaan di dunia, tak hanya di Indonesia, khususnya mereka yang memiliki atau menyimpan data pengguna, wajib untuk melakukan enkripsi terhadap data yang sensitif. Jika sebuah server harus berada dalam kondisi online, perlindungan database bisa dilakukan dengan menggunakan password yang sulit untuk dideteksi.

"Namun akan lebih baik jika data ini tetap berada dalam kondisi offline untuk menghindari kesalahan seperti itu (eHAC)," ujar Lisa.

Selain itu, jika memungkinkan, gunakan otentikasi dua faktor (2FA) atau membuat akses terbatas untuk pengguna dengan menciptakan aturan/kebijakan akses data.

"Pastikan semua server yang anda gunakan, baik Cloud atau bukan, tetap aman dan terkonfigurasi dengan baik. Jangan pernah membiarkan sebuah sistem bisa diakses dari internet tanpa otorisasi yang jelas. Terakhir, wajib ada audit dan tes untuk menemukan kerentanan yang potensial dalam sebuah sistem atau aplikasi," kata Lisa.