Peretas yang menamakan diri Bjorka diduga telah membocorkan puluhan juta data masyarakat yang ditampung dalam aplikasi MyPertamina.
Pakar Keamanan Siber Dr Pratama Persadha menduga Bjorka telah membocorkan 44 juta data masyarakat. Data-data tersebut berisi nama, surat elektronik (email), nomor induk kependudukan (NIK), nomor kartu tanda penduduk (KTP), dan nomor pokok wajib pajak (NPWP).
“Selain itu, Bjorka upload (mengunggah) nomor telepon, alamat, date of birth (tanggal lahir), jenis kelamin, penghasilan (harian, bulanan, dan tahunan), data pembelian bahan bakar minyak (BBM), dan masih banyak data lainnya,” kata Pratama Persadha melalui percakapan WhatsApp kepada ANTARA.
Puluhan juta data: Pratama menjelaskan bahwa kebocoran tersebut diunggah pada hari Kamis (10/11/2022) pukul 10:31 WIB oleh anggota forum situs breached.to dengan nama identitas “Bjorka.”
Dia menyebutkan pula bahwa 44 juta data ini dijual dengan harga 25 ribu dolar Amerika Serikat (AS) atau sekitar Rp400 juta. Data itu diklaim Bjorka berjumlah 44.237.264 baris dengan total ukuran mencapai 30 gigabyte bila dalam keadaan tidak dikompresi.
Ketua Lembaga Riset Siber Indonesia CISSReC ini mengungkapkan bahwa data itu sampelnya dibagi dua file, yaitu data transaksi dan data akun pengguna.
Sampel cocok: Ketika pengecekan terhadap sampel data secara acak dengan aplikasi “GetContact”, menurut dia, nama dalam nomor tersebut sesuai dengan yang ada dalam data Bjorka.
“Selain itu, dicek NIK lewat aplikasi Dataku juga cocok. Berarti sampel data yang diberikan oleh Bjorka merupakan data yang valid,” ujarnya.
Sumber kebocoran: Pratama mengatakan, hingga saat ini sumber data yang diperoleh Bjorka masih belum jelas. Namun, soal asli atau tidaknya data ini hanya Pertamina sendiri yang bisa menjawabnya.
Hal ini karena Pertamina yang membuat aplikasi ini yang juga memiliki dan menyimpan data ini. Menurut pria asal Cepu, Kabupaten Blora, Jawa Tengah ini, jalan terbaik harus dilakukan audit dan investigasi forensik digital untuk memastikan kebocoran data ini dari mana.
Ia memandang perlu pengecekan terlebih dahulu terhadap sistem informasi dari aplikasi MyPertamina. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data.
Namun, lanjut Pratama, dengan pengecekan yang menyeluruh dan forensik digital, bila benar-benar tidak ada celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam.
Bila benar ini data MyPertamina, menurut dia, berlaku pada Pasal 46 Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) ayat (1) dan (2).
Dalam pasal tersebut menyebutkan bahwa dalam hal terjadi kegagalan perlindungan data pribadi, maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam. Pemberitahuan itu disampaikan kepada subjek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP).
Pratama menerangkan bahwa pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan, dan bagaimana data pribadi terungkap, serta upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi.
Sebelumnya, peretas dengan nama Bjorka juga mengaku telah membocorkan data PLN, Indihome, data registrasi SIM card, serta 105 juta data pemilih, hingga data rahasia dan surat untuk Presiden Joko Widodo (Jokowi) beberapa waktu lalu. Sang peretas diduga berada di luar negeri. Hingga saat ini polisi dibuat tak berkutik atas ulah Bjorka.
Baca Juga:
Bjorka Sebar Data Pribadi Menpora Buntut Tragedi Kanjuruhan
Mahfud Md Tegaskan Pengesahan RUU Perlindungan Data Pribadi Tak Berkaitan dengan Bjorka