Kerentanan Sistem Publik di Amerika Serikat

pibitek.biz -Sistem publik yang digunakan oleh pengadilan dan pemerintah di Amerika Serikat, yang mengelola berbagai informasi penting seperti pendaftaran pemilih dan dokumen hukum, ternyata rentan terhadap serangan siber. Riset dan penemuan yang dilakukan oleh Jason Parker, seorang pengembang software yang beralih menjadi peneliti keamanan, mengungkap kelemahan serius yang memungkinkan para penyerang untuk memanipulasi database pendaftaran pemilih, menambahkan, menghapus, atau memodifikasi dokumen resmi. Parker, selama setahun terakhir, telah menemukan dan melaporkan puluhan kerentanan kritis di setidaknya 19 platform komersial yang digunakan oleh ratusan pengadilan, lembaga pemerintah, dan departemen kepolisian di seluruh Amerika Serikat.

Sebagian besar kelemahan ini dikategorikan sebagai kritis, mengancam integritas dan keamanan sistem yang mendasari proses demokrasi dan penegakan hukum. Salah satu celah keamanan yang ditemukan Parker terletak pada portal pembatalan pendaftaran pemilih untuk negara bagian Georgia. Kerentanan ini memungkinkan siapa pun yang mengakses situs web tersebut untuk membatalkan pendaftaran pemilih di negara bagian Georgia dengan hanya mengetahui nama, tanggal lahir, dan kabupaten tempat tinggal pemilih. Hal ini sangat memprihatinkan, mengingat peran penting pendaftaran pemilih dalam proses demokrasi.

Selain itu, Parker menemukan bahwa sistem manajemen dokumen yang digunakan di pengadilan setempat di seluruh Amerika Serikat memiliki beberapa kerentanan yang memungkinkan orang yang tidak berwenang mengakses dokumen sensitif seperti evaluasi psikiatris yang seharusnya dirahasiakan. Dalam kasus lain, Parker menemukan bahwa orang yang tidak berwenang dapat memberikan izin akses kepada diri sendiri, izin yang seharusnya hanya dimiliki oleh juru tulis pengadilan. Dengan akses tersebut, mereka dapat membuat, menghapus, atau memodifikasi dokumen hukum, sehingga membahayakan integritas proses peradilan.

Kerentanan ini sangat memprihatinkan karena sistem yang digunakan oleh pengadilan dan pemerintah Amerika Serikat berperan penting dalam administrasi keadilan, hak pilih, dan fungsi penting pemerintahan lainnya. Jumlah kelemahan yang ditemukan, yang sebagian besar disebabkan oleh kontrol izin yang lemah, validasi input pengguna yang buruk, dan proses autentikasi yang tidak aman, menunjukkan kurangnya perhatian dalam menjaga kepercayaan sistem yang diandalkan oleh jutaan warga setiap hari. Ketidakamanan ini menimbulkan pertanyaan serius tentang integritas sistem, yang seharusnya menjamin transparansi dan keadilan.

Jika pendaftaran pemilih dapat dibatalkan dengan mudah dan dokumen hukum rahasia dapat diakses oleh orang yang tidak berwenang, bagaimana kita dapat memastikan bahwa sistem tersebut benar-benar aman dan dapat dipercaya? Parker menggarisbawahi bahwa platform yang dirancang untuk memastikan transparansi dan keadilan justru gagal pada tingkat keamanan dasar. Jika sistem tidak dapat melindungi data sensitif dari akses tidak sah, maka kepercayaan publik pada sistem tersebut akan terkikis, dan integritas proses demokrasi dan penegakan hukum akan terancam. Kerentanan yang ditemukan di database pendaftaran pemilih Georgia, misalnya, tidak memiliki mekanisme otomatis untuk menolak permintaan pembatalan yang tidak menyertakan informasi pemilih yang diperlukan.

Sistem tersebut, alih-alih menandai permintaan tersebut sebagai mencurigakan, memprosesnya tanpa pemeriksaan. Demikian pula, platform GovQA Granicus yang digunakan oleh ratusan lembaga pemerintah untuk mengelola catatan publik dapat diretas untuk mengatur ulang kata sandi dan mendapatkan akses ke nama pengguna dan alamat email dengan hanya memodifikasi alamat web yang ditampilkan di jendela browser. Kerentanan pada sistem eFiling C-Track Thomson Reuters memungkinkan penyerang untuk meningkatkan status pengguna mereka menjadi administrator pengadilan.

Eksploitasi hanya memerlukan manipulasi bidang tertentu selama proses pendaftaran. Meskipun belum ada bukti bahwa kerentanan yang ditemukan telah dieksploitasi, namun potensi bahaya yang ditimbulkan oleh kerentanan ini sangat nyata. Data-data penting seperti catatan pemilih, dokumen hukum, dan informasi sensitif lainnya berisiko jatuh ke tangan yang salah, yang dapat menyebabkan penyalahgunaan dan manipulasi sistem. Tiga bulan sebelum penemuan Parker, sebuah pintu belakang berbahaya ditemukan dalam komponen JAVS Suite 8, paket aplikasi yang digunakan oleh 10.000 ruang sidang di seluruh dunia untuk merekam, memutar ulang, dan mengelola audio dan video dari persidangan hukum.

Sebuah perwakilan dari perusahaan tersebut menyatakan bahwa investigasi yang dilakukan bersama dengan Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) menyimpulkan bahwa malware tersebut hanya diinstal pada dua komputer dan tidak mengakibatkan kebocoran informasi. Perwakilan tersebut menyatakan bahwa malware tersebut tersedia melalui file yang diposting oleh aktor ancaman di situs web pemasaran publik JAVS. Parker, sebagai pengembang software, memulai penelitiannya pada tahun lalu atas dasar sukarela.

Dia telah bekerja sama dengan Electronic Frontier Foundation untuk menghubungi vendor sistem dan pihak lain yang bertanggung jawab atas platform yang ditemukannya memiliki kerentanan. Sampai saat ini, semua kerentanan yang dia laporkan telah diperbaiki, beberapa di antaranya baru diperbaiki pada bulan lalu. Parker, dalam perannya sebagai peneliti keamanan, lebih fokus pada platform yang mengelola data publik. Parker menekankan bahwa memperbaiki masalah keamanan ini memerlukan lebih dari sekadar menambal beberapa bug.

Ini memerlukan perubahan menyeluruh dalam cara keamanan ditangani dalam sistem pengadilan dan catatan publik. Untuk mencegah penyerang menguasai akun atau mengubah data sensitif, kontrol izin yang kuat harus diterapkan segera, dan validasi input pengguna yang lebih ketat harus diterapkan. Audit keamanan rutin dan pengujian penetrasi harus menjadi praktik standar, bukan hanya sebagai tambahan, dan mengikuti prinsip Secure by Design harus menjadi bagian integral dari setiap Siklus Pengembangan software. Berikut adalah 19 platform yang terdampak: 1. GovQA Granicus 2. CivicClerk 3. Tyler Technologies 4. Caseflow 5. Webfilings 6. C-Track Thomson Reuters 7. JAVS Suite 8 8. Case Management Solutions 9. EFile 10. Odyssey eFile 11. V3 Systems 12. First DataBank 13. Justia 14. LexisNexis 15. Westlaw 16. Bloomberg Law 17. Court Listener 18. PACER 19. MyCase.

Parker mendesak vendor dan pelanggan untuk meningkatkan keamanan sistem mereka dengan melakukan pengujian penetrasi dan audit software serta melatih karyawan, terutama yang bekerja di departemen IT. Dia juga mengatakan bahwa autentikasi multifaktor harus tersedia secara universal untuk semua sistem tersebut. Penemuan ini merupakan peringatan bagi semua organisasi yang mengelola data publik yang sensitif. Jika mereka gagal bertindak cepat, konsekuensinya bisa sangat mengerikan, tidak hanya bagi institusi itu sendiri, tetapi juga bagi individu yang privasi mereka dijamin untuk dilindungi. Saat ini, tanggung jawab terletak pada lembaga dan vendor di balik platform ini untuk mengambil tindakan segera, untuk memperkuat pertahanan mereka, dan untuk mengembalikan kepercayaan pada sistem yang sangat banyak diandalkan oleh orang-orang.

Sistem publik di Amerika Serikat, yang dirancang untuk melayani masyarakat dan menjamin keadilan, justru menunjukkan kelemahan fundamental yang mengancam demokrasi dan hak asasi manusia. Keberadaan kerentanan ini, yang memungkinkan manipulasi data dan akses ilegal, adalah bukti nyata ketidakpedulian dan ketidakmampuan para pengambil kebijakan dalam melindungi data publik yang sensitif. Sangat memprihatinkan bahwa sistem yang diandalkan oleh jutaan warga, yang seharusnya menjadi benteng keamanan dan transparansi, justru menjadi sasaran empuk bagi para penyerang siber. Penemuan ini menunjukkan bahwa keamanan siber di Amerika Serikat masih dalam tahap awal, dan upaya yang dilakukan untuk melindungi data publik masih sangat jauh dari kata cukup.