21 April 2023
MANILA – Pihak berwenang sedang mencoba mengungkap laporan mengenai pengungkapan database yang dijalankan oleh Kepolisian Nasional Filipina yang mungkin telah membocorkan informasi pribadi lebih dari satu juta orang antara bulan Januari dan Maret tahun ini.
Sekelompok profesional teknologi informasi mengatakan pelanggaran tersebut, yang dilaporkan pada hari Selasa oleh pelacak keamanan siber yang berbasis di luar negeri, menimbulkan keraguan mengenai kemampuan lembaga pemerintah untuk melindungi data yang dikumpulkan dari publik, khususnya dengan penerapan Undang-Undang Pendaftaran SIM.
Komisi Privasi Nasional (NPC) mengatakan pada hari Kamis bahwa mereka bertemu dengan PNP, Biro Investigasi Nasional dan lembaga terkait lainnya untuk menyelidiki dugaan pengungkapan sekitar 1,2 juta dokumen yang berisi data pribadi personel dan pelamar PNP.
BACA: Lebih dari 1 juta catatan dari NBI, PNP, dan lembaga lainnya bocor dalam pelanggaran data besar-besaran
“Sebagai otoritas privasi data Anda, NPC berkomitmen penuh untuk melindungi informasi pribadi dan meyakinkan publik bahwa kami tidak akan meninggalkan kebutuhan bisnis yang terlewat untuk mengungkap dugaan pelanggaran ini,” kata John Henry Naga, komisaris NPC, dalam sebuah pernyataan. penyataan.
“Kami juga ingin menggunakan kesempatan ini untuk mengingatkan mereka yang memproses data pribadi bahwa mereka juga mempunyai kewajiban untuk melindungi data yang mereka kumpulkan. Jangan dikoleksi kalau tidak bisa melindungi,” tambah Naga.
Tidak ada perlindungan kata sandi
Dalam laporan yang dipublikasikan di situs vpnMentor, peneliti keamanan siber Jeremiah Fowler mengatakan database yang tidak dilindungi kata sandi diekspos secara online setidaknya selama enam minggu sebelum pembatasan diberlakukan kembali pada minggu kedua bulan Maret, setelah memperingatkan PNP tentang hal itu.
Basis data berukuran 817,54 gigabyte berisi gambar dokumen asli yang dipindai dan difoto termasuk akta kelahiran, salinan catatan pendidikan, ijazah, catatan pengajuan pajak, paspor dan kartu identitas polisi.
Beberapa di antaranya adalah izin yang dikeluarkan oleh PNP, NBI, Biro Pendapatan Dalam Negeri (BIR) dan Komisi Aparatur Sipil Negara (CSC), yang sebagian besar berisi pemindaian sidik jari dan tanda tangan.
“Setiap pelanggaran data yang mengungkap informasi pribadi milik polisi dan anggota penegak hukum atau pejabat lainnya bisa berbahaya. Individu yang datanya terekspos berpotensi menjadi korban pencurian identitas, serangan phishing, dan berbagai aktivitas jahat lainnya,” kata Fowler.
Dalam pesannya kepada Penyelidik, Michael Santos, kepala departemen pengaduan dan investigasi NPC, mengatakan, “kami masih dalam tahap awal penyelidikan untuk memverifikasi terlebih dahulu apakah ada kebocoran, dan jika ya, seberapa besar dan data apa yang terlibat. dan apa yang mengalami pelanggaran.”
ACG, probe DICT
NPC meminta penjelasan dari lembaga yang terlibat, kata Santos, sambil menambahkan: “Jika peretasan terjadi karena kelalaian besar, orang yang bertanggung jawab dapat dimintai pertanggungjawaban.”
Brigjen Polisi. Umum Sidney Hernia, direktur PNP Anti-Cybercrime Group (ACG), menyatakan bahwa “pada titik ini kami tidak dapat secara pasti mengatakan bahwa ada kebocoran” sambil menunggu hasil “penilaian kerentanan dan pengujian penetrasi” pada sistem PNP.
ACG, kata Hernia, meminta akses penuh untuk mengevaluasi log dalam sistem Layanan Rekrutmen dan Seleksi PNP, yang mengoperasikan portal tempat pelamar menyerahkan formulir secara online, termasuk lampiran dokumen dalam kebocoran data yang dilaporkan oleh Fowler.
Departemen Teknologi Informasi dan Komunikasi (DICT) juga telah meluncurkan penyelidikan paralel, menurut Sekretaris Ivan Uy.
Tim Tanggap Darurat Komputer Nasional DICT tidak mengklasifikasikan insiden tersebut sebagai pelanggaran data ketika pertama kali dilaporkan ke badan tersebut pada bulan Maret, jelas Uy. Meskipun dokumen yang dikeluarkan oleh NBI, BIR dan CSC telah terungkap, bukan berarti sistem lembaga-lembaga tersebut telah diretas, tambahnya.
Umum selama pandemi
Dalam sebuah wawancara di ANC pada hari Kamis, Fowler mengatakan bahwa untuk jangka waktu tertentu database PNP “dapat diakses secara publik oleh siapa saja yang memiliki koneksi internet dan beberapa alat penelusuran sumber terbuka. Tidak diperlukan pengetahuan khusus untuk melihatnya; kamu hanya perlu tahu di mana mencarinya.”
Fowler mengatakan, ada kemungkinan kebocoran data merupakan akibat dari “kesalahan” yang dilakukan lembaga pemerintah atau penyedia penyimpanan cloud pihak ketiga yang menyimpan database tersebut. “Menurut pendapat pribadi saya, kemungkinan besar itu milik seseorang yang berwenang menjalankannya untuk menangani dokumen-dokumen ini.”
Menurut Fowler, “terjadi gelombang besar pembobolan data selama pandemi, karena perusahaan membuka akses ke karyawan jarak jauh dan tidak menyadari bahwa mereka secara tidak sengaja membuka seluruh database untuk semua orang.”
PNP ‘Kepuasan’
Sementara itu, sekelompok profesional komunikasi informasi dan teknologi di negara ini telah menyerukan peninjauan kembali Undang-Undang Privasi Data tahun 2012 agar penerapannya selalu mengikuti teknologi terkini.
Persatuan Praktisi Komputer mengatakan dalam sebuah pernyataan pada hari Kamis bahwa lembaga-lembaga terkait harus segera memberi tahu calon korban pelanggaran data tentang “risiko yang mereka hadapi sebagai akibat dari rasa puas diri PNP,” melalui semua akun pribadi mereka seperti email, bank hingga segera amankan. akun dan aplikasi digital.
“Jika DICT—yang bertugas melakukan audit keamanan pada registrasi/database SIM PTE (entitas telekomunikasi publik)—tidak dapat mendeteksi lubang pada database PNP dalam pengujian keamanan regulernya, bagaimana kita dapat percaya bahwa mereka dapat secara kompeten memastikan keamanan data kami?” kata kelompok itu, mengacu pada registrasi kartu SIM yang diwajibkan bagi pengguna ponsel.
“Jika PNP begitu berpuas diri meninggalkan database mereka tanpa kata sandi, dan DICT tidak dapat mencegah kebocoran data sensitif…bagaimana mereka dapat membuktikan kepada kami bahwa informasi pribadi kami yang dikumpulkan dari pendaftaran SIM akan sangat melindungi?” itu berkata.