Mengejar Hacker 279 Juta Data dan Regulasi Keamanan Data Pribadi

Masyarakat heboh dengan viralnya berita 279 juta data penduduk Indonesia yang diduga dijual di sebuah forum hacker. Ini merupakan kasus ketiga kalinya, setelah data dari tokopedia dan situs KPU bocor di forum yang sama.

Asumsi.co mencoba mengklarifikasi ke Kementerian Dalam Negeri dan Kementerian Komunikasi dan Informatika. 

Dirjen Dukcapil Zudan Arif Fakrulloh  mengatakatakan bahwa berdasarkan hasil analisa Tim Ditjen Dukcapil Kementerian Dalam Negeri pada kasus kebocoran data individu yang infonya berasal dari Twitter ditemukan fakta seperti, pelaku mengiklankan penjualan data individu di website dengan alamat https://raidforums.com/Thread-SELLING-Indonesian-full-Citizen-200M-NIK-KPT-PHONE-NAME-MAI-LADDRESS-Free-1Million.

“Nama user yang mengiklankan data tersebut adalah Kotz.”Pada iklan di website tersebut yang bersangkutan memberikan link sample data individu yang bisa didownload sebagai sampel data, data yang sudah didownload berbentuk file CSV (comma separated value) dan setelah diimport berjumlah 1.000.000 rows,” katanya saat dihubungi, Kamis (20/5/21).

Baca juga: 279 Juta Data Penduduk Indonesia Diduga Bocor dan Dijual di Forum Hacker

Lebih jauh Zudan mengungkapkan, “Hasil penelusuran tim dari hasil import data sampel tersebut, diperoleh struktur data yg terdiri dari kolom-kolom sebagai berikut: PSNOKA, PSNOKALAMA, PSNOKALAMA2, NAMA, NMCETAK, JENKEL, AGAMA, TMPLHR, TGLLHR, FLAGTANGGUNGAN, NOHP, NIK, NOKTP, TMT, TAT, NPWP, EMAIL, NOKA, KDHUBKEL, KDSTAWIN, KDNEGARA, KDGOLDARAH, KDSTATUSPST, KDKANTOR, TSINPUT, TSUPDATE, USERINPUT, USERUPDATE, TSSTATUS, DAFTAR.”

Berdasarkan poin 4, dari struktur data di atas merupakan elemen data yang dimiliki oleh salah satu instansi bidang kesehatan. Namun, ketika ditanya mengenai pendapat ada data yang bocor dan sejauh mana pemerintah bisa melindungi warganya, dirinya enggan berkomentar.

“Tanya ke BPJS. Saya tidak enak berkomentar,” katanya.

BPJS Kesehatan dan Kemkominfo Lakukan Penelurusan

Penelusuran 279 juta data yang bocor tersebut ternyata ada di lembaga BPJS Kesehatan. Dalam kesempatan itu, Kepala Humas BPJS Kesehatan, M. Iqbal Anas, mengatakan saat ini pihaknya telah melakukan penelusuran untuk memastikan dugaan data yang bocor tersebut berasal dari instansinya. Iqbal juga akan memberitahukan hasil akhir dari proses penyelidikannya.

“BPJS Kesehatan konsisten memastikan keamanan data peserta BPJS Kesehatan dilindungi sebaik-baiknya. Lembaga ini menggunakan teknologi big data yang kompleks untuk melindungi data peserta,” katanya saat dihubungi Asumsi.co, Kamis (20/5/2021).

Menurut Iqbal dengan big data kompleks yang tersimpan di server BPJS Kesehatan, “kami memiliki sistem pengamanan data yang ketat dan berlapis sebagai upaya menjamin kerahasiaan data tersebut, termasuk di dalamnya data peserta JKN-KIS”.

“BPJS Kesehatan juga secara rutin melakukan koordinasi dengan pihak-pihak terkait untuk memberikan perlindungan data yang lebih maksimal.” katanya.

Kabar kebocoran ratusan juta data pribadi ini diketahui dari unggahan seseorang dengan nama akun “kotz” di Raid Forum. Dia mengklaim data tersebut mencakup penduduk Indonesia yang saat ini masih hidup hingga yang telah meninggal dunia.

Sedangkan sampai Kamis malam, Kementerian Komunikasi dan Informatika (Kominfo) menyatakan bahwa Direktorat Jendral Aplikasi dan Informatika (Aptika) masih bekerja untuk menelusuri dan mengungkap dugaan kebocoran data tersebut.

“Hingga malam ini pukul 20.00 WIB, tim masih bekerja dan sejauh ini belum dapat disimpulkan bahwa telah terjadi kebocoran data pribadi dalam jumlah yang masif seperti yang diduga. Kesimpulan ini diambil setelah dilakukan beberapa tahap pemeriksaan secara hati-hati terhadap data yang beredar,” ujar Juru Bicara Kementerian Kominfo Dedy Permadi dalam keterangannya.

Teguh Apriyanto, Cyber Security Researcher & Consultant mengatakan kasus yang terjadi baru-baru ini seharusnya tidak mudah bocor. Hal ini dikarenakan data pribadi warga Indonesia merupakan data yang sangat penting.

“Ketika data ini dikelola sembarangan lalu bocor, orang yang menjadi korban kebocoran akan rentan menjadi korban kejahatan dunia maya ataupun dunia nyata. Contoh paling gampang ketika data e-KTP bocor, lalu dipakai penjahat untuk mengajukan kredit. Sementara uangnya dinikmati orang lain, korbanlah yang harus membayar tagihannya. Selain identitasnya bisa disalahgunakan, korban kebocoran data pribadi juga rentan menjadi korban doxxing (data pribadi diumbar di tempat umum), phising (penipuan), dan lain sebagainya,” katanya dikutip dari Mojok.

Baca juga: Data Pribadi Kerap Bocor, Hindari Fotokopi KTP!​

Menurutnya ini yang terjadi di Indonesia sekarang. Hanya membutuhkan waktu beberapa detik untuk mendapatkan data pribadi seperti NIK dan KK seorang WNI.

“Untuk pencarian yang ditargetkan, hanya butuh lima detik untuk mendapatkan data pribadi orang yang kita cari. Sedangkan untuk membobol website milik pemerintah, cuma perlu waktu tak lebih dari satu menit untuk serangan bersifat acak. Untuk serangan yang ditargetkan, tak sampai satu hari waktu buat menemukan kerentanan di website milik pemerintah Indonesia,” tambahnya.

Menurutnya, hal ini harusnya tidak terjadi di Indonesia bila ada regulasi yang jelas soal keamadanan data pribadi.

“Jika ini terjadi di Eropa, perusahaan akan diberikan denda miliaran hingga triliunan karena sudah ada regulasi agar mereka lebih berhati-hati menjaga dan mengelola data pribadi pengguna mereka. Karena negara ini malah punya UU ITE, bukannya regulasi untuk menindak pembocoran/kebocoran data pribadi, yang jelas ketika kejadian seperti itu terjadi, sebagai korban tidak ada yang bisa kamu lakukan selain berdiam diri, pasrah, dan memikirkan kenapa logo susu beruang sekarang anaknya sudah hilang dan diganti dengan gelas yang berisi susu beruang itu sendiri,” katanya.