PATI, Portalljateng.id | Kasus tereksposnya Nomor Induk Kependudukan (NIK) dan Nilai Jual Objek Pajak (NJOP) milik warga melalui output JSON pada situs PBB Kabupaten Pati (pbb.patikab.go.id) memicu peringatan keras dari kalangan pakar.
Penutupan akses atau perbaikan celah keamanan (patching) dinilai baru langkah awal, dan tidak menggugurkan tanggung jawab hukum instansi terkait terhadap
Undang-Undang Pelindungan Data Pribadi (UU PDP). Pakar tata kelola sistem informasi dan keamanan siber menilai, insiden ini membuka tabir lemahnya standardisasi keamanan pada pengembangan aplikasi di lingkup pemerintahan daerah.
Berikut adalah pandangan komprehensif pakar mengenai insiden tersebut:
1. Kebocoran Melalui JSON Adalah “Kelalaian Dasar”, Bukan Serangan Siber Kompleks.
Menurut Pakar Teknologi, Hilal berpendapat bahwa tereksposnya data masyarakat melalui format JavaScript Object Notation (JSON) menunjukkan adanya kelemahan fatal pada arsitektur Application Programming Interface (API).
“Ini biasanya terjadi karena endpoint API dibiarkan terbuka tanpa middleware otentikasi atau sistem authorization yang memadai. Siapa pun yang mengetahui URL target bisa langsung menarik data. Dalam dunia keamanan siber, ini masuk kategori Broken Access Control, sebuah kelalaian mendasar dalam perancangan aplikasi, bukan akibat peretasan tingkat tinggi,” ujar pakar keamanan data yang malang melintang di dunia teknologi, (10/4)
Bahaya terbesar dari terbukanya data dalam format JSON adalah, kemudahannya untuk ditarik secara massal (scraping) menggunakan bot atau script otomatis.
Jika celah ini sudah terbuka berhari-hari sebelum diperbaiki, sangat mungkin ribuan basis data warga sudah berpindah tangan bahkan diperjualbelikan di darkweb.
2. Perbaikan Teknis Tidak Menghapus Pelanggaran UU PDP.
Meski tim IT Pemerintah Kabupaten Pati mungkin telah menambal bug atau menutup akses JSON tersebut dengan redirect ke sistem login, kewajiban hukum mereka belum selesai.
Sesuai Pasal 46 UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, instansi pemerintah bertindak sebagai “Pengendali Data Pribadi”.
”Sistem yang sudah diperbaiki tidak berarti menghapus pelanggaran. Jika data warga terbukti sempat terekspos, Pemkab wajib secara hukum memberikan notifikasi tertulis kepada masyarakat yang datanya bocor, serta melaporkannya ke otoritas pengawas dalam waktu maksimal 3×24 jam. Jika diam-diam saja, itu merupakan pelanggaran serius terhadap prosedur UU PDP,” tegasnya.
3. Risiko Jangka Panjang: NIK dan Data Aset (NJOP) Jadi Sasaran Rekayasa Sosial.
Kombinasi antara NIK dan data properti/aset (NJOP) sangat berbahaya di tangan pelaku kejahatan siber.
Data ini sangat spesifik dan bisa digunakan untuk penipuan terstruktur (spear phishing), pemalsuan identitas untuk pinjaman online, hingga rekayasa sosial yang menyasar pemilik aset dengan modus penagihan pajak palsu.
4. Solusi Sistemik: Mendesak Integrasi Keamanan SSO dan Pertukaran Data Terpusat.
Insiden di situs PBB Pati ini seharusnya menjadi momentum evaluasi menyeluruh bagi pemerintah daerah.
Modul-modul layanan publik yang berdiri sendiri dan tidak terpusat terbukti rentan terhadap kebocoran. Pakar merekomendasikan agar pemerintah daerah mulai menerapkan arsitektur Single Sign-On (SSO) dan ekosistem pertukaran data yang tersentralisasi dan terenkripsi.
“Pemerintah tidak bisa lagi membangun aplikasi sektoral yang masing-masing mengelola data NIK secara telanjang. Harus ada pintu gerbang pertukaran data yang terpusat. Ketika satu aplikasi layanan membutuhkan validasi NIK warga, mereka cukup memanggil token identitas melalui sistem terpusat tersebut, bukan mengekspos database mentahnya di front-end atau API aplikasi,” tutupnya.(red)
