Keamanan Data di Penyimpanan Awan

TED Hilbert harap-harap cemas. Sudah hampir dua pekan sejak situs blog BleepingComputer mengungkap insiden bocornya 35 juta data pribadi pe-numpang Malindo Air, Thai Lion Air, dan Batik Air di Internet, ia belum mendapat surat ataupun dihubungi Lion Air. “Seharusnya Lion Air memberikan penjelasan tentang insiden yang terjadi dan apa yang harus dilakukan kepada setiap pelanggannya. Data pribadi pelanggan adalah tanggung jawab Lion Air sepenuhnya,” kata Chief Executive Officer Cloudmatika itu di kantornya di Jalan Pramuka Raya, Jakarta Timur, Senin, 23 September lalu.

Hilbert merasa berhak memperoleh informasi tentang keamanan data pribadi yang ia berikan kepada Lion Air tahun lalu, ketika ia dua kali membeli tiket maskapai Batik Air. Menurut dia, Lion Air tidak cukup mengatakan data pribadi pelanggan aman karena tidak ada data transaksi pembayaran yang bocor ke luar. “Nama, nomor telepon, alamat e-mail, tanggal lahir, dan nomor paspor itu data pribadi yang bersifat rahasia. Data itu bisa digunakan oleh pencuri identitas untuk tindakan kriminal,” ujar pria yang fasih berbahasa Indonesia tersebut.

BleepingComputer, situs blog teknologi dan keamanan informasi, melaporkan pada Selasa, 17 September lalu, bahwa puluhan juta data penumpang maskapai Malindo Air dan Thai Lion Air telah beredar di forum pertukaran data setidaknya sebulan terakhir. Ada dua basis data yang beredar, yakni 21 juta data penumpang Malindo Air dan 14 juta data penumpang Thai Lion Air. Keduanya terdapat dalam bucket atau sistem penyimpanan Amazon Secure Simple Storage yang menyimpan file backup yang dibuat pada Mei 2019. Dalam file backup itu juga ada nama penumpang Batik Air.

Menurut BleepingComputer, detail data pribadi yang bocor mencakup identitas registrasi penumpang, alamat fisik, nomor telepon, alamat surat elektronik, nama lengkap, tanggal lahir, nomor paspor, dan masa berlaku paspor. Lima hari sebelum BleepingComputer merilis laporannya, peneliti yang memakai nama akun Twitter @underthebreach mencuit info kebocoran data tersebut beserta contoh gambar dua basis data yang bocor dengan detail pribadi diblok putih.

Malindo Air, melalui siaran pers pada 23 September lalu, berdasarkan temuan awal di lapangan, menyatakan pembocor data pribadi itu adalah dua bekas karyawan perusahaan penyedia layanan e-commerce mitra Malindo Air, GoQuo (M) Sdn Bhd, yang berkantor di India. Corporate Communications Strategic Lion Air Group Danang Mandala Prihantoro membenarkan informasi tentang ditemukannya pembocor data. Namun dia tidak membalas pesan pendek Tempo, yang meminta konfirmasi atas kabar bahwa data penumpang Batik Air juga bocor.

Siaran pers Kementerian Komunikasi dan Informatika pada 27 September lalu mengungkapkan bahwa terdapat 2 persen data penumpang Indonesia dalam data Malindo Air yang bocor. Menurut pelaksana tugas Kepala Biro Hubungan Masyarakat Kementerian Komunikasi, Ferdinandus Setu, dalam rilis itu, berdasarkan hasil pertemuan tim Kementerian dengan perwakilan Malindo Air, terungkap bahwa data pribadi sekitar 7,8 juta penumpang bocor. Dari jumlah itu, terdapat 66 persen data penumpang dari Malaysia, 4 persen dari India, dan 2 persen dari Indonesia.

Ted Hilbert tidak mempercayai penjelasan Malindo Air tentang kebocoran data pribadi penumpang bahwa bekas karyawan GoQuo telah mengakses dan mencurinya. Ia malah meyakini pemicu kebocoran data yang disimpan dalam layanan penyimpanan awan (cloud) Secure Simple Storage (S3) milik Amazon Web Services itu kesalahan sederhana yang kerap terjadi. “Tidak ada hacking dan aktivitas kriminal. Ini kombinasi dari susahnya mengkonfigurasi keamanan di Amazon S3 dan tidak mengertinya Lion Air terhadap produk S3,” kata Hilbert, meyakinkan.

Kesalahan sederhana yang dimaksud Hilbert adalah adanya bucket atau sistem penyimpanan di Amazon S3 Malindo Air yang dikonfigurasi menjadi dapat diakses oleh publik. “Hal ini biasanya terjadi karena dalam pengaturan Access Control List masih memakai nilai default atau off untuk pilihan block of public access,” ucapnya.

Kesalahan lain, Hilbert melanjutkan, adalah uniform resource locator (URL) atau tautan S3 bucket ditampilkan pada situs e-commerce atau situs perusahaan. “Seharusnya, sebelum sampai ke bucket, ada server yang memanipulasi URL aslinya.”

Hilbert menegaskan bahwa dia tidak menyebut Lion Air atau vendor sebagai pelaku kesalahan itu. Namun, kenyataannya, hal itu pernah terjadi pada April lalu, ketika 540 juta data pengguna Facebook yang dikumpulkan aplikasi pihak ketiga bernama Cultura Collectiva—penerbit digital yang bermarkas di Meksiko—tersimpan di Amazon S3 tanpa proteksi dan dapat diakses siapa saja. “Ini kebocoran data yang tersimpan di Amazon S3 yang terbesar. Data Lion Air mungkin yang kedua terbesar,” ujarnya.

Situs berita teknologi ZDNet tahun lalu pun telah memuat daftar perusahaan yang pernah mengalami kebocoran data yang disimpan tanpa proteksi di Amazon S3. Di antaranya FedEx Crossborder, yang mengalami kebocoran ribuan data pelanggan; perusahaan teknologi dan cloud, Accenture; penyedia hosting, GoDaddy; operator telekomunikasi, Verizon; maskapai Nigeria, Arik Air; National Credit Federation; dan kontraktor Departemen Pertahanan Amerika Serikat, Booz Allen Hamilton. Bahkan kebocoran juga menimpa situs web kampanye Donald Trump dan Dow Jones, yang data 2,2 juta karyawannya bocor.

Menurut Kepala Teknologi Informasi HackerOne—start-up peneliti keamanan siber—Aaron Zander, memperketat keamanan siber adalah langkah yang harus diambil perusahaan. “Membiarkan server terekspos tanpa perlindungan apa pun adalah kegagalan keamanan paling mendasar dan memalukan, tapi tetap saja ini terjadi,” tutur Zander seperti dikutip ZDNet.

Zander menambahkan, bila memutuskan memindahkan data ke lingkungan cloud, perusahaan harus memiliki pemahaman yang menjadi kunci, yakni tentang siapa mengakses apa dan kapan, sehingga risiko akses tak sah dapat diminimalkan. “Terus-teruslah menguji dan memeriksa karena itu membantu menjaga data semua orang aman, terutama data pelanggan,” ucapnya.

Adapun Ted Hilbert punya pendapat berbeda mengenai penyimpanan data pribadi di awan. Menurut dia, S3 bukan pilihan yang benar untuk menyimpan data pribadi yang bersifat rahasia. “Ada banyak pilihan penyimpanan serupa S3 yang data center-nya berada di dalam negeri, seperti CBN, PT Infinys, Biznet, Datacomm,” katanya. “Bahkan harganya pun 50 persen lebih murah dari Amazon S3.” Selain itu, dia menambahkan, Amazon S3 tidak cocok untuk menyimpan data backup karena tidak menyediakan proteksi berupa enkripsi data.

DODY HIDAYAT (ZDNET, REUTERS, BLEEPINGCOMPUTER)