Laman web visa elektronik baru Somalia kekurangan protokol keamanan yang memadai, yang dapat dieksploitasi oleh aktor-aktor jahat untuk mengunduh ribuan e-visa berisi informasi sensitif, termasuk detail paspor, nama lengkap, dan tanggal lahir individu.
Al Jazeera mengonfirmasi kerentanan sistem ini pekan lalu, berdasarkan informasi dari sumber yang berlatar belakang pengembangan web.
Sumber tersebut memberikan informasi kepada Al Jazeera mengenai data yang berisiko beserta bukti bahwa mereka telah menyampaikan kekhawatiran kepada otoritas Somalia pekan lalu untuk memberi tahu mengenai kerentanan tersebut.
Menurut sumber itu, meski telah berupaya, tidak ada tanggapan dari pihak berwenang dan masalahnya belum juga diperbaiki.
“Pelanggaran yang melibatkan data pribadi sensitif sangatlah berbahaya karena membahayakan orang dari berbagai risiko, termasuk pencurian identitas, penipuan, dan pengumpulan intelijen oleh aktor nakal,” ujar Bridget Andere, analis kebijakan senior di kelompok hak digital Access Now, kepada Al Jazeera.
Kelemahan keamanan baru ini muncul sebulan setelah pejabat menyatakan mereka meluncurkan penyelidikan menyusul pembobolan platform e-visa negara tersebut oleh peretas.
Pekan ini, Al Jazeera berhasil mereplikasi kerentanan yang diidentifikasi oleh sumber kami. Kami dapat mengunduh e-visa berisi informasi sensitif dari puluhan orang dalam waktu singkat. Ini mencakup detail pribadi warga dari Somalia, Portugal, Swedia, Amerika Serikat, dan Swiss.
Al Jazeera telah mengirimkan pertanyaan kepada pemerintah Somalia dan mengingatkan mereka mengenai cacat sistem tersebut, namun tidak menerima respons.
“Dorongan pemerintah untuk meluncurkan sistem e-visa meski jelas belum siap menghadapi risiko potensial, lalu meluncurkannya kembali setelah pelanggaran data serius, adalah contoh nyata bagaimana pengabaian terhadap kekhawatiran dan hak masyarakat dalam memperkenalkan infrastruktur digital dapat menggerogoti kepercayaan publik dan menciptakan kerentanan yang sebenarnya dapat dihindari,” kata Andere.
“Yang juga mengkhawatirkan adalah otoritas Somalia belum mengeluarkan pemberitahuan resmi apa pun mengenai pelanggaran data serius [pada November] ini.”
“Dalam situasi seperti ini, undang-undang perlindungan data Somalia mewajibkan pengontrol data untuk memberitahukan otoritas perlindungan data, dan dalam konteks berisiko tinggi seperti insiden ini, juga memberitahukan individu yang terdampak,” tambah Andere.
“Perlindungan ekstra seharusnya diterapkan dalam kasus ini karena melibatkan orang dari berbagai kewarganegaraan dan karenanya yurisdiksi hukum yang majemuk.”
Al Jazeera tidak dapat mengungkap detail teknis mengenai pembobolan ini karena kerentanannya belum diperbaiki, sehingga mempublikasikannya dapat memberi informasi cukup bagi peretas untuk mereplikasi kebocoran tersebut.
Segala informasi sensitif yang diperoleh Al Jazeera sebagai bagian dari investigasi ini telah dimusnahkan untuk menjamin privasi mereka yang terdampak.
Pembobolan Sebelumnya
Bulan lalu, pemerintah AS dan Inggris mengeluarkan peringatan mengenai pembobolan data yang membocorkan informasi lebih dari 35.000 orang yang mengajukan e-visa ke Somalia.
“Data yang bocor dari pelanggaran tersebut mencakup nama, foto, tanggal dan tempat lahir, alamat surel, status perkawinan, serta alamat rumah pelamar visa,” ujar Kedutaan Besar AS di Somalia pada waktu itu.
Menanggapi pembobolan data tersebut, Badan Imigrasi dan Kewarganegaraan Somalia (ICA) memindahkan laman web e-visa-nya ke domain baru dalam upaya meningkatkan keamanan.
Badan imigrasi itu menyatakan pada 16 November bahwa mereka menangani masalah ini dengan “prioritas khusus” dan mengumumkan telah meluncurkan penyelidikan.
Awal pekan itu, Menteri Pertahanan Somalia Ahmed Moalim Fiqi telah memuji sistem e-visa, mengklaim sistem itu berhasil mencegah pejuang ISIL (ISIS) memasuki negara tersebut, seiring pertempuran berbulan-bulan berlanjut di wilayah utara melawan afiliasi lokal kelompok itu.
Andere dari Access Now menekankan bahwa pemerintah seringkali terburu-buru menerapkan sistem e-visa, yang kerap berujung pada situasi yang tidak aman.
Dia menambahkan bahwa masyarakat sulit melindungi diri dari jenis pelanggaran data seperti ini.
“Pertimbangan perlindungan data dan keamanan siber seringkali yang pertama diabaikan,” ujarnya. “Sulit untuk membebankan tanggung jawab kepada masyarakat karena data yang mereka berikan memang dibutuhkan untuk proses tertentu.”