Beberapa waktu lalu, saya nemu sebuah celah keamanan cukup serius di salah satu sistem pemerintahan. Sistem ini nyimpen data pribadi ASN. Mulai dari NIK, alamat, ijazah, sampai dokumen sensitif lainnya.
 |
| Verifikasi Reset Password yang bikin geleng kepala |
Masalahnya ada di fitur reset password. Dengan sedikit trik, orang lain bisa aja masuk ke akun siapa pun tanpa verifikasi yang benar. Bahasa kerennya sih, ini termasuk Broken Access Control atau Insecure Password Reset.
 |
| Tidak membutuhkan NIK, bisa melewati step pertama. |
Saya Laporkan dengan Cara Baik-Baik
Karena niatnya bukan cari masalah, saya pilih jalan aman. Saya bikin laporan lengkap, sertakan bukti (yang sudah disensor), lalu kirim lewat jalur resmi. Tapi ternyata... laporan saya ditolak.
Alasannya simpel banget tapi bikin geleng kepala:
Gak apa-apa, belum kena hack kok. Daripada bangun dari awal.
Masalahnya ada di Pola Pikir
Kalimat itu bikin saya mikir. Masalah utama kita ternyata bukan cuma soal bug atau sistem yang kurang aman, tapi soal pola pikir manusianya.
Banyak instansi baru panik setelah kebobolan. Padahal, kalau bug kayak gini dibiarkan, itu sama aja kayak pintu rumah dibiarkan terbuka dan berharap gak ada pencuri lewat.
Yang bikin sedih, kadang orang yang niat bantu malah gak dihargai. Padahal banyak peneliti keamanan yang cuma ingin sistem jadi lebih aman, bukan untuk mencari perhatian.
Cukup ucapan “terima kasih” aja udah bikin senang. Tapi yang sering terjadi malah laporan diabaikan. Saya cuma berharap ke depannya, lembaga-lembaga pemerintah lebih terbuka terhadap laporan keamanan. Jangan nunggu kena hack.
Posting Komentar