20 April 2023
MANILA – Basis data tidak terlindungi yang berisi lebih dari satu juta dokumen identitas dan catatan pribadi personel dan pelamar Kepolisian Nasional Filipina terungkap secara online setidaknya selama enam minggu sebelum akses ke data tersebut dibatasi pada bulan Maret, menurut laporan pelacak keamanan siber.
Namun, PNP belum mengonfirmasi apakah pelanggaran data memang terjadi, sementara Kelompok Anti-Kejahatan Dunia Maya (ACG) telah meluncurkan penyelidikan.
Dalam laporan yang diterbitkan Selasa di situs vpnMentor, peneliti keamanan siber Jeremiah Fowler melaporkan paparan database yang tidak dilindungi kata sandi yang berisi lebih dari 1,2 juta catatan, sebagian besar dokumen pribadi petugas polisi dan karyawan lain, serta pelamar.
Basis data berukuran 817,54 gigabyte berisi salinan dokumen asli yang dipindai dan difoto, termasuk akta kelahiran, salinan catatan pendidikan, ijazah, catatan pengajuan pajak, paspor dan kartu identitas polisi, menurut laporan Fowler.
Ada juga izin yang dikeluarkan oleh PNP, Biro Investigasi Nasional, Biro Pendapatan Dalam Negeri dan Komisi Aparatur Sipil Negara, di antara dokumen-dokumen lain yang berisi pemindaian sidik jari dan tanda tangan pemilik, menurut laporan tersebut.
‘Peraturan Internal Polisi’
Basis data tersebut juga tampaknya berisi dokumen terkait dengan arahan internal yang ditujukan kepada petugas penegak hukum, yang menurut Fowler, “mungkin bersifat rahasia atau tidak.”
Dalam pertukaran email dengan Inquirer pada hari Rabu, Fowler mengatakan dia menemukan database PNP yang tidak terlindungi pada pertengahan Januari dan segera memberi tahu pihak berwenang tentang paparannya.
Namun baru pada minggu kedua bulan Maret tindakan diambil dan akses publik terhadap database tersebut dihapus, katanya.
Pada saat itu, database tersebut telah terekspos setidaknya selama enam minggu, kata Fowler, meskipun ia mengatakan tidak jelas berapa lama database tersebut dapat diakses atau apakah ada orang lain yang telah mengaksesnya.
Ketika dimintai komentar, PNP mengatakan mereka sudah mengetahui database yang terekspos. Penjara. Namun, Jenderal Sidney Hernia, direktur ACG, mengatakan “saat ini kami tidak dapat mengatakan secara pasti bahwa ada kebocoran” data personel dan pelamarnya.
Menurut Hernia, ACG masih melakukan “penilaian kerentanan dan uji penetrasi” pada sistem PNP.
Fowler membagikan tangkapan layar kepada Inquirer dari beberapa dokumen yang telah disunting yang menurutnya dapat diakses dari database yang terekspos, memperingatkan bahwa penjahat dunia maya dapat menggunakannya untuk aktivitas yang tidak bermoral.
“Seperti yang Anda lihat berdasarkan ini…kami dapat mengatakan dengan yakin bahwa pasti ada pelanggaran dan semua catatan terkait dengan individu dalam penegakan hukum. Mereka seharusnya tidak diekspos atau diakses tanpa perlindungan kata sandi,” katanya. . .
Potensi bahaya
Fowler mengatakan bahwa ketika dia menemukan database tersebut, dia mengirimkan lebih dari 15 “pemberitahuan pengungkapan yang bertanggung jawab selama beberapa minggu” ke berbagai lembaga pemerintah Filipina.
Namun dia mengatakan dia baru menerima balasan dari NBI pada 26 Februari, yang mengakui laporannya tentang kemungkinan pelanggaran, dan balasan lain keesokan harinya dari Tim Tanggap Darurat Komputer Nasional (NCERT),’ sebuah divisi di bawah Biro Keamanan Siber. dari Departemen Teknologi Informasi dan Komunikasi, mengatakan dia sedang menyelidiki masalah ini.
Fowler mengatakan dia menindaklanjuti NCERT beberapa kali untuk mendapatkan pembaruan hingga akses publik ke database dibatasi sekitar dua minggu kemudian, baik pada 10 Maret atau 11 Maret.
Meskipun ada potensi risiko serangan dunia maya atau enkripsi database melalui ransomware – sejenis perangkat lunak berbahaya yang dirancang untuk memblokir akses ke sistem komputer hingga sejumlah uang dibayarkan – dia tidak melihat tanda-tanda hal ini di penyelidikannya.
“Setiap pelanggaran data yang mengungkap informasi pribadi milik polisi dan anggota penegak hukum atau pejabat lainnya bisa berbahaya. Individu yang datanya terekspos berpotensi menjadi korban pencurian identitas, serangan phishing, dan berbagai aktivitas jahat lainnya,” kata Fowler dalam laporannya.
“Akan mudah bagi penjahat untuk mengajukan pinjaman, kredit, atau kejahatan keuangan lainnya dengan menggunakan identitas individu tersebut dan dokumen pendukung,” tambahnya.
Pengawas dunia maya
Fowler adalah peneliti keamanan siber di vpnMentor dan salah satu pendiri Security Discovery, penyedia keamanan siber dengan kantor pusat teknis di Hamburg, Jerman.
vpnMentor adalah situs web yang mengulas penyedia VPN dan secara rutin menerbitkan laporan keamanan siber. Laboratorium penelitiannya bekerja dengan lembaga privasi data dan tim tanggap darurat komputer untuk mengidentifikasi ancaman dunia maya dan melindungi data pengguna perusahaan dan organisasi. Pada tahun 2019, mereka membentuk tim analisis keamanan siber secara pro bono.
Di situs webnya, mereka menyatakan telah menerbitkan hampir seratus laporan keamanan siber, mengungkap setidaknya 70 pelanggaran yang dilakukan perusahaan, dan menemukan miliaran kebocoran siber.
Fowler mengatakan kepada Inquirer bahwa dia mengapresiasi penanganan insiden yang “sangat profesional” oleh pihak berwenang setempat, namun dia menyayangkan lambatnya respons yang diberikan.
“Saya mengatakan kepada mereka bahwa saya memahami bahwa di pemerintahan mana pun selalu ada birokrasi dan penundaan waktu. Namun ini adalah catatan paling sensitif yang pernah diungkapkan ke publik,” katanya.