JAKARTA, KOMPAS.com - Pengamat keamanan siber dari Vaksin.com, Alfons Tanujaya, memperingatkan kepada para aparatur sipil negara (ASN) supaya lebih waspada dan berhati-hati dalam mengelola aset digital.
Alfons menyampaikan pernyataan itu setelah membedah laporan dari DarkTracer yang menyatakan ada 28 domain dan subdomain lembaga pemerintah, kementerian, hingga pemerintah daerah yang mengalami kebocoran akun surat elektronik (surel) atau E-mail.
"Jika yang bersangkutan adalah ASN, hal ini menunjukkan bahwa dia kurang melindungi aset digitalnya dengan baik," kata Alfons dalam keterangan pers yang diterima Kompas.com, Senin (25/4/2022).
Alfons mengatakan, kebocoran kredensial E-mail perlu mendapatkan perhatian ekstra karena dengan berbekal data itu peretas dapat mengakses peladen surel institusi secara sah dan mengirimkan E-mail menggunakan akun E-mail yang bocor tersebut.
Baca juga: Kebutuhan RUU Keamanan Siber Dinilai Sudah Sangat Mendesak
Menurut Alfons, jika pelaku berhasil meretas akun surel yang bocor, maka mereka akan mampu menembus perlindungan antispam yang canggih sekalipun seperti Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), dan DMARC (Domain-based Message Authentication, Reporting, and Conformance).
Alfons mengatakan, kebocoran kredensial E-mail domain atau subdomain institusi pemerintah dan swasta sangat berbahaya karena orang yang menerima surel dari akun yang berhasil diretas tidak curiga. Akhirnya mereka terkecoh dan menjadi korban rekayasa sosial mengatasnamakan lembaga yang bersangkutan.
Bahkan, kata Alfons, dengan bekal data kredensial hasil curian itu peretas bisa menggunakannya untuk mendapatkan keuntungan finansial dengan berbagai modus.
Baca juga: Pakar Ungkap Kebocoran Akun E-mail dari Kemenag sampai Kementerian PUPR
Alfons juga mengkritik sikap para ASN yang dinilai kurang cermat dalam menjaga aset digital yang di saat ini menjadi incaran para peretas.
"Bagaimana bisa diberi tanggung jawab mengelola aset digital masyarakat? Jika ia baru melamar sebagai ASN dan akun kredensialnya bocor, ada baiknya hal ini dijadikan sebagai salah satu pertimbangan," ujar Alfons.
Daftar peladen surel (mail server) institusi pemerintah yang mengalami kebocoran E-mail menurut DarkTracer adalah sebagai berikut :
1. mail.kemenag.go.id (326)
2. mail.polri.go.id (114)
3. mail.atrbpn.go.id (104)
4. mail.bps.go.id (100)
5. sakti.mail.go.id (96)
6. webmail.kemenkeu.go.id (85)
7. mailhost.bpd.go.id (84)
8. mail.jabarprov.go.id (79)
9. email.pajak.go.id (46)
10. mail.go.id (37)
11. mail.kemendikbud.go.id (25)
12. mail.dephub.go.id (21)
13. mail.customs.go.id (20)
14. mail.esdm.go.id (14)
15. mail.kejaksaan.go.id (13)
16. mail.kemenkumham.go.id (13)
17. webmail.bnn.go.id (13)
18. email.jakarta.go.id (11)
19. mail.bppt.go.id (11)
20. mail.pertanian.go.id (11)
21. mail.ojk.go.id (10)
22. mail.kemsos.go.id (7)
23. mail.pom.go.id (7)
24. mail.bkkbn.go.id (6)
25. webmail.kpu.go.id (6)
26. mail.bpk.go.id (5)
27. mail.kemenpppa.go.id (5)
28. mail.pu.go.id (4)
Alfons juga menyarankan kepada pengelola peladen surel supaya lebih cermat dalam pengawasan, karena mereka memiliki kewajiban untuk mengamankan peladen (server) dari aksi pengambilalihan akun.
Cara pencegahannya, kata Alfons, adalah dengan mengaktifkan perlindungan menggunakan mekanisme autentikasi dua tahap (two factor authentication) atau kata sandi sekali pakai (one time password) untuk pengakses peladen surel dari perangkat, peramban, atau klien surel (mail client) baru.
Simak breaking news dan berita pilihan kami langsung di ponselmu. Pilih saluran andalanmu akses berita Kompas.com WhatsApp Channel : https://www.whatsapp.com/channel/0029VaFPbedBPzjZrk13HO3D. Pastikan kamu sudah install aplikasi WhatsApp ya.