REPUBLIKA.CO.ID, Rekam data puluhan juta penumpang maskapai di bawah grup Lion Air diduga beredar terbatas di forum pertukaran data setidaknya dalam sebulan terakhir. Rekam data yang disinyalir bocor ini berupa informasi kartu kependudukan atau KTP penumpang, alamat tinggal, nomor telepon, alamat surat elektronik, hingga nomor paspor.
Mengutip dari situs blog teknologi Bleepingcomputer, seseorang telah mengumpulkan informasi sensitif tadi yang ditayangkan di situs. Kemudian, data ditautkan di Amazon dengan akses terbuka.
Belum diketahui pasti sejak kapan data-data itu kali pertama diakses peretas. Namun, salah satu pengumpul data dari berbagai forum pertukaran data pernah mengunggah tautan penyimpanan data penumpang di Amazon Web Services (AWS) pada bulan lalu. Dari sinilah AWS dikait-kaitkan dengan dugaan kebocoran ini. Sebab, diduga data makin tersebar dari dua database penyimpanan virtual itu setelah mereka membagikan tautan dari AWS tersebut.
Data tersebut disimpan di dua tempat. Database pertama berisi catatan 21 juta penumpang. Pada database kedua terdapat catatan mengenai 14 juta penumpang. Data tersebut berada dalam direktori yang menyimpan file cadangan yang dibuat pada Mei 2019. Sebagian besar data terkait dengan Malindo Air dan Thai Lion Air. Sebagian lainnya adalah data terkait Batik Air, maskapai yang juga terafiliasi dengan Lion Air Group.
Upaya peretasan terhadap data penumpang maskapai di bawah grup Lion Air ini tentu menyisakan pertanyaan. Apakah benar data penumpang ini diperjualbelikan dengan mudahnya? Sebegitu gampangkah suatu database yang disimpan di sistem berbasis awan (cloud) yang dikelola perusahaan sekelas Amazon diretas?
Mengapa maskapai ceroboh dalam menjaga data penumpangnya? Sejauh mana peran regulator dalam melindungi data pribadi warganya? Dan beragam pertanyaan lainnya yang muncul.
Sejauh ini upaya peretasan database penumpang maskapai grup Lion Air ini memang bukan isapan jempol. Pihak Lion Air menyatakan sedang mendalami adanya upaya 'pencurian' data ini. Demikian dengan pihak Malindo Air yang membenarkan sejumlah data pribadi penumpang yang disimpan di cloud telah disalahgunakan. Penyelidikan sedang berlangsung yang dilakukan bersama penyedia layanan data eksternal.
Bahkan, Menteri Komunikasi dan Informatika Rudiantara mengaku, telah mengirim surat kepada AWS untuk meminta penjelasan mengapa upaya penerobosan data pribadi ini bisa terjadi. Menkominfo juga telah berkoordinasi dengan Menteri Perhubungan Budi Karya Sumadi dan Dirjen Perhubungan Udara Kemenhub. Dalam waktu dekat, Kemenkominfo akan meminta penjelasan dari pihak Lion Group.
Kebocoran data Lion Air bisa dialami siapa pun. Dalam konteks ini, ada beberapa kemungkinan penyebabnya. Bisa karena kelalaian pemilik data, bisa pula karena adanya celah yang memungkinkan peretasan dari penyedia penyimpanan virtual. Mutlak bagi Lion Air untuk melakukan digital forensik guna menelusuri penyebab kebocoran.
Sebab, kebocoran data penumpang ini jangan dianggap sepele. Kita tidak mengetahui mau dikemanakan dan akan diapakan data penumpang tersebut. Akankah dimanipulasi sehingga seolah sebagai pelaku kriminal, aksi terorisme, ataukah sinterklas berbagi donasi? Bisa untuk kejahatan, tapi tak tertutup pula untuk kegiatan amal. Manakah yang berpotensi besar terjadi bila datanya saja diperoleh dengan cara-cara maling?
Sebagai perusahaan maskapai berskala regional, semestinya Lion Air rutin melakukan penetration test sebagai bentuk komitmen dalam menjaga keamanan data penumpangnya dari kemungkinan penerobosan. Apakah tes ini sudah reguler dilakukan Lion sehingga bisa menutup celah keamanan? Semoga demikian adanya.
Pada era digital, data merupakan aset dan komoditas paling berharga. Orang bisa saling berebut demi mendapatkan profil seseorang. Era bigdata memungkinkan pemasaran produk dan jasa makin terarah berdasarkan profil seseorang.
Namun, akan menjadi pukulan telak pula bila kebocoran itu karena kelemahan dari penyedia jasa. Apakah pihak AWS menetapkan standar yang longgar bagi nasabah dalam hal enkripsi data? Semua mesti diuji dalam digital forensik. Namun, 'hukuman' setimpal mesti diberikan kepada penyedia jasa berupa permintaan ganti rugi hingga kepercayaan (trust) kepadanya.
Upaya peretasan data memang kini sedang marak. Baik perbankan maupun perusahaan teknologi menjadi sasaran mereka. Para perusahaan penyedia jasa layanan mesti bertanggung jawab dalam hal pengamanan data nasabah.
Adapun regulator mesti menegakkan aturan yang tegas bagi perusahaan yang lalai dalam hal perlindungan data pribadi. Undang-Undang Informasi dan Transaksi Elektronik bisa menjadi payung hukum bagi semua. Keamanan data pribadi adalah prioritas.
Ikuti Whatsapp Channel Republika
