Pada bulan Mei 2021, masyarakat heboh akibat dugaan kebocoran data pribadi dari layanan Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan milik 279 juta penduduk – salah satu kasus kebocoran data terbesar di Indonesia.
Beberapa data yang bocor termasuk Nomor Induk Kependudukan (NIK), nama dan alamat lengkap, hingga nomor telepon. Sebagai pengelola, BPJS Kesehatan bahkan kabarnya hendak digugat lewat Pengadilan Tata Usaha Negara (PTUN) karena kasus tersebut.
Kasus ini menyusul rentetan kasus kebocoran data yang sebelumnya sudah sering terjadi.
Pada tahun 2020 saja, di Indonesia tercatat 7 kasus kebocoran data pribadi – dari data layanan belanja online seperti Tokopedia, Bhinneka.com, dan Shopback, data Daftar Pemilih Tetap (DPT) Pemilu 2014, hingga layanan finansial Kreditplus dan Cermati.
Data pribadi ini bisa dimanfaatkan pihak peretas maupun dijual ke forum gelap untuk berbagai modus kejahatan siber.
Apa saja risikonya, dan bagaimana cara mengantisipasinya?
Dalam konsep keamanan siber, kita mengenal dua jenis data yang berharga yakni “identitas digital” dan “data pribadi”.
Identitas digital merupakan identitas seseorang sebagai pengguna platform digital – dari identitas yang nampak seperti nama akun, foto, maupun deskripsi pengguna, hingga yang tidak nampak termasuk kata sandi (password) dan kode One Time Password (OTP).
Sementara itu, data pribadi adalah serangkaian informasi yang digunakan untuk mengenali seseorang.
Data pribadi umum bisa meliputi nama, tanggal lahir, alamat rumah, email, dan nomer telpon. Data pribadi khusus biasanya berupa data kesehatan, biometrik, informasi keuangan, preferensi seksual, pandangan politik, hingga data kriminalitas.
Kebocoran identitas digital dan data pribadi – atau kombinasi keduanya – bisa digunakan sendiri oleh peretas/penipu maupun dijual di internet gelap dengan harga berkisar dari US$ 0.5 (sektar Rp 7 ribu) untuk kartu identitas hingga US$ 4.500 (sekitar Rp 65 juta) untuk paspor.
Apabila jatuh ke tangan yang salah, pemilik data bisa terpapar setidaknya empat risiko kejahatan siber.
Pertama, data pribadi bisa dimanfaatkan untuk membobol rekening keuangan.
Ini biasanya dilakukan lewat manipulasi secara sosial dengan mengelabui korban. Misalnya, pelaku dapat mengirim e-mail disertai pesan genting atau manipulatif supaya korban membeberkan data pribadi dan informasi layanan bank pada suatu link atau lampiran.
Tempo mencatat setidaknya 6 kasus pembobolan rekening bank dari bulan Januari hingga April 2021 yang menimbulkan kerugian hingga hampir Rp 57 miliar.
Modus seperti ini bahkan bisa digunakan untuk membobol dompet digital seperti Go-Pay dan OVO, misalnya saat peretas memiliki nomer pengguna lalu mengirimkan pesan penipuan yang meminta pengguna memberitahukan kode One Time Password (OTP).
Kasus pembobolan dompet digital pernah dialami artis Maia Estianti dan Aura Kasih, maupun pengguna Go-Pay lainnya dengan kerugian hingga belasan juta rupiah.
Kedua, penyalahgunaan data pribadi berbentuk penipuan pinjaman online (pinjol) ilegal.
Biasanya, peminjaman uang ini dilakukan orang lain yang berpura-pura sebagai pemilik data. Korban bahkan tidak tahu menahu soal pinjaman tersebut, dan berujung sebagai pihak yang diteror untuk pengembalian uang dan bunga.
Korban pencurian data pribadi untuk pinjol tidak hanya mengalami kerugian finansial, namun juga ketakutan psikologis dan menghabiskan energi karena harus berurusan dengan layanan hukum untuk mendapatkan bantuan.
Ketiga, data pribadi penduduk yang bocor bisa digunakan untuk memetakan profil pemilik data – misalnya untuk keperluan politik atau iklan di media sosial.
Data Daftar Pemilih Tetap (DPT) Pemilu 2014, misalnya, pernah dibobol peretas dan berisiko digunakan dengan tujuan tidak baik.
Kebocoran data seperti ini bisa digunakan untuk memetakan preferensi politik pengguna yang kemudian bisa dimanfaatkan sebagai target disinformasi.
Kita pernah melihat ini pada tahun 2018 saat perusahaan data Cambridge Analytica terbukti menyalahgunakan data pribadi hingga 87 juta pengguna Facebook untuk keperluan politik – di antaranya untuk mendukung kampanye Donald Trump saat pemilu AS tahun 2016.
Keempat, peretasan data akun media sosial juga bisa digunakan untuk berbagai modus pemerasan secara online.
Salah satu bentuk kejahatan adalah pemerasan seksual atau biasanya disebut “sextortion”.
Misalnya, pelaku bisa mengajak kita untuk melakukan percakapan seksual, atau menawarkan layanan video call sex (VCS). Aktivitas tersebut kemudian bisa direkam dan digunakan untuk memeras korban.
Bahkan, gambar atau video pribadi yang diunggah di media sosial, perangkat digital, maupun layanan penyimpanan lainnya juga bisa diretas dan digunakan untuk pemerasan seksual. Dalam kasus ini, seringkali peretas membobol akun media sosial pengguna yang memakai sandi keamanan yang mudah ditebak seperti nama, tanggal tahir, tempat lahir, dan sebagainya.
Secara hukum, beberapa akademisi berpendapat bahwa perlindungan data pribadi adalah bagian dari hak asasi manusia.
Regulasi terkait seperti melalui UU Perlindungan Data Pribadi yang saat ini terhambat di Dewan Perwakilan Rakyat (DPR), sangat penting untuk segera direalisasikan di Indonesia.
Namun, sembari menanti hal tersebut, ada beberapa hal yang bisa kita lakukan untuk membantu mencegah kebocoran atau peretasan data pribadi kita.
Salah satu cara terbaik adalah menggunakan sandi keamanan yang kuat di berbagai akun media sosial atau layanan digital lainnya, dengan menggabungkan huruf, angka dan simbol lainnya sehingga tidak mudah ditebak.
Sandi keamanan pun harus diperbaharui secara berkala, dan dibuat berbeda untuk setiap aplikasi atau platform. Selain itu, kode sementara termasuk One Time Password (OTP) harus selalu dirahasiakan dari orang lain.
Penggunaan aplikasi password manager yang aman seperti 1Password atau LastPass juga bisa menjadi opsi – kita tinggal menghafalkan satu kata sandi utama dan aplikasi akan mengelola kata sandi yang sangat rumit dan susah ditebak untuk berbagai akun yang kita miliki.
Kemudian, kita harus disiplin menjaga data diri baik milik kita sendiri, keluarga, maupun orang lain untuk tidak diumbar di media sosial.
Pastikan kita hanya memberi data diri pada pihak yang menjamin pengelolaan data pribadi kita dengan baik dan bertanggung jawab.
Terakhir, kita bisa ambil langkah keamanan yang lebih jauh lagi dengan mengaktifkan fitur seperti Two Factor Authentication (2FA) – di mana setelah memasukkan kata sandi, kita memerlukan kode tambahan yang dibuat secara acak dan hanya berlaku sekitar 30 detik.
Kini telah banyak panduan di internet bagaimana menggunakan fitur 2FA ini melalui aplikasi seperti Authy atau Google Authenticator.
Dengan melakukan perlindungan data diri secara disiplin, kita bisa aman dalam bermedia digital dan risiko kebocoran data pribadi bisa kita minimalisir.
Artikel ini ditulis oleh Associate Professor Department of Communication Science Universitas Gadjah Mada, Novi Kurnia dan telah terbit di The Conversation dengan judul asli “Dari pembobolan rekening hingga pemerasan seksual: 4 risiko kebocoran data pribadi dan cara mudah mengantisipasinya“.