Menyedot data dari kandang singa

Para penumpang maskapai Thai Lion dan Malindo Air kini sedang diselimuti gundah gulana.

Pasalnya, manajemen Lion Air Group telah mengonfirmasi isu yang bersiliweran di dunia maya sejak Selasa (17/9) lalu tentang beredarnya puluhan juta data pribadi milik para penumpang kedua maskapai itu di forum jual-beli di dunia maya.

Bleepingcomputer, dalam laporannya pada Selasa (17/9), memberitakan puluhan juta data penumpang dari maskapai penerbangan Thai Lion dan Malindo Air telah beredar di forum pertukaran data selama setidaknya sebulan terakhir.

Info itu disimpan dalam bucket milik Amazon Web Service (AWS) yang terbuka di web.

Catatan penumpang tersebut terbagi dalam dua basis data (database) yaitu 21 juta entri data dan 14 juta entri data. Keduanya terdapat dalam direktori yang menyimpan file cadangan yang dibuat pada Mei 2019. File cadangan lain juga ada atas nama Batik Air yang juga bagian dari Lion Air Group.

Rincian data yang bocor termasuk ID penumpang dan reservasi, alamat fisik, nomor telepon, alamat email, nama, tanggal lahir, nomor telepon, nomor paspor, dan tanggal kedaluwarsa paspor.

Manajemen Lion Air Group telah menemui Kementerian Komunikasi dan Informatika (Kominfo) untuk membahas isu bocornya data pribadi milik penumpangnya.

Lion Air Group menyatakan merasa maskapainya menjadi korban atas kebocoran data pribadi penumpang.

Lion Air Group telah berkoordinasi dengan vendor sebagai mitra kerjasama sesuai perjanjian, dan dinyatakan data penumpang aman.

Lion Air Group sudah melaporkan atas kejadian dimaksud ke pihak berwajib menurut masing-masing negara yakni Lion Air (kode penerbangan JT), Batik Air (kode penerbangan ID) dan Wings Air (kode penerbangan IW) di Indonesia; Malindo Air (kode penerbangan OD) di Malaysia dan Thai Lion Air (kode penerbangan SL) di Thailand.

Maskapai yang identik dengan logo Singa ini menginformasikan bahwa tidak menyimpan secara detail mengenai pembayaran dari tamu atau penumpang ke dalam server. Lion Group tidak mempunyai data-data terkait yang berhubungan pembayaran penumpang. Data yang tersebar bukan data pembayaran (finansial) dari penumpang. Manajemen menggaransi saat ini data penumpang itu sudah tidak bocor lagi pada yang lain-lainnya.

Lion Air wajar harus bergerak cepat meredam isu liar ini, soalnya Malaysia sebagai tempat beroperasi Malindo Air memiliki Undang-Undang Perlindungan Data Pribadi Malaysia 2010 (Malaysian Personal Data Protection Act 2010).

Sementara di Indonesia ada Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (PDPSE).

AWS juga tak tingal diam. Laporan yang diturunkan ZDNet,(21/9) menyatakan seluruh server yang berisi data penumpang Malindo Air sudah aman "tanpa kerentanan lebih lanjut. AWS juga menyebut, "Tidak ada informasi pembayaran yang bocor".

AWS menegaskan layanan dan infrastrukturnya berfungsi sebagaimana dirancang dan tidak dikompromikan dengan cara apa pun.

Pelajaran
Mengikuti kasus yang dialami oleh Lion Air Group ada beberapa pelajaran yang bisa dipetik.

Pertama, keamanan dunia maya adalah kompleks dan membutuhkan disiplin dan pengetahuan yang mendalam. Layanan cloud, meskipun nyaman, membutuhkan kewaspadaan ekstra, dan adanya ancaman terhadap privasi data.

Hal yang harus dipahami secara teknis, data yang disimpan dalam layanan cloud seperti bucket S3 Amazon Web Services (AWS) hanya seaman pengaturan konfigurasi keamanannya.

Artinya, sangat penting bagi perusahaan untuk terus mengaudit dan memperbaiki kesalahan konfigurasi, karena layanan cloud juga dapat mengubah pengaturan mereka sesekali.

Kedua, secara regulasi sudah saatnya regulator penerbangan berkoordinasi dengan Kominfo untuk membuat aturan terkait penggunaan Teknologi Informasi (TI) mengingat maskapai dan eksositemnya sangat tergantung dengan keandalan teknologi.

Ketiga, sudah saatnya pemerintah memberikan perhatian khusus terhadap perlindungan data pribadi dari warganya. Saat ini ada 30 regulasi yang mengatur mengenai perlindungan data, dalam kaitannya dengan hak azasi manusia, pertahanan keamanan, kesehatan, administrasi kependudukan, keuangan dan perbankan, serta perdagangan dan perindustrian.

Namun, hal ini tak cukup. Indonesia butuh regulasi setara Undang-undang layaknya di Malaysia atau Uni Eropa untuk melindungi privasi warga negaranya serta menjaga "kekayaannya" tak di sedot oleh pihak asing.

Ingat, data adalah "New Oil" di era Industri 4.0. Jika kita bergantung kepada negara lain untuk menjaga "kekayaan" yang dimiliki, lantas apa lagi kebanggaan sebagai bangsa?

@IndoTelko