JAKARTA - Perhelatan Konferensi Tingkat Tinggi G20 di Nusa Dua, Bali, yang dimulai hari ini menjadi catatan buruk bagi citra Indonesia di mata dunia. Pasalnya ada lebih dari 3, 2 Milyar data PeduliLindungi yang bocor dan dijual oleh Bjorka yang juga beberapa hari yang lalu membocorkan salah satu aplikasi milik plat merah yaitu MyPertamina
Dalam keterangannya pada Selasa (15/11), pakar keamanan siber Pratama Persadha menjelaskan bahwa kebocoran tersebut diunggah pada pagi ini oleh anggota forum situs breached.to dengan nama identitas 'Bjorka' yang memang sudah berjanji sebelumnya untuk membocorkannya aplikasi PeduliLindungi ke publik setelah aplikasi MyPertamina. Bjorka membocorkan 3, 2 Milyar yang terbagi kedalam data pengguna, data vaksinasi, riwayat pelacakan, serta riwayat check-in pengguna aplikasi dengan memberikan sampel data.
"Data yang diunggah yaitu Nama, Email, NIK (Nomor KTP), Nomor Telepon, Tanggal Lahir, Identitas Perangkat, Status COVID-19, Riwayat Checkin, Riwayat Pelacakan Kontak, Vaksinasi dan masih banyak data lainnya. Data yang berjumlah 3, 2 Milyar ini dijual dengan harga US$ 100.000 atau sekitar 1, 5 Milyar rupiah menggunakan menggunakan mata uang Bitcoin", terang chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center
Pratama mengemukakan, data yang diklaim oleh Bjorka berjumlah 3, 250, 144, 777 data dengan total ukuran mencapai 157 GB bila dalam keadaan tidak dikompres. Data sampelnya dibagi menjadi 5 file yaitu Data Pengguna sebanyak 94 Juta, Akun yang sudah disortir sebanyak 94 Juta, Data Vaksinasi 209 Juta, Data Riwayat Check-In 1, 3 Milyar, dan Riwayat Pelacakan Kontak sebanyak 1, 5 Milyar. Saat dicek apakah data ini valid menggunakan aplikasi pengecek nomor KTP, maka data ini benar valid terdata di data kependudukan. Dan jika diperiksa lebih lanjut pada sample datanya, ada banyak kordinat lokasi yang bertepatan dengan fitur Check-in PeduliLindungi di tempat - tempat publik.
"Sampai saat ini sumber datanya masih belum jelas, Namun soal asli atau tidaknya data ini hanya instansi yang terlibat dalam pembuatan aplikasi pedulilindungi yaitu Kominfo, Kementrian BUMN, Kemenkes dan Telkom. Dan juga sangat disayangkan data yang sangat sensitif ini tidak maksimal pengamanannya, misalnya dengan melakukan enkripsi datanya. Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana”, jelas pria asal Cepu, Jawa Tengah ini.
Perlu dicek dahulu sistem informasi dari aplikasi PeduliLindungi yang datanya dibocorkan oleh Bjorka. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data. Namun dengan pengecekan yang menyeluruh dan digital forensic, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam.
Ditambahkan olehnya, Jika nantinya sudah melakukan pengecekan yang menyeluruh dan digital forensik dan bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam. Hal ini memang bukan barang baru, karena dalam kebocoran data ada 3 penyebab utama, yaitu peretasan, karena human eror atau tindakan orang dalam dan terakhir karena adanya kesalahan dalam sistem informasi tersebut. Jadi setiap kebocoran data tidak selalu disebabkan oleh serangan siber oleh para peretas. Namun bila serangan oleh para peretas, itupun tidak langsung bisa diidentifikasi para penyerangnya. Ini juga terkait sejauh mana kemampuan dari si peretas.
“Dan bila benar ini data PeduliLindungi, maka berlaku pada Pasal 46 UU PDP ayat 1 dan 2, yang isinya bahwa dalam hal terjadi kegagalan perlindungan data pribadi maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam. Pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi”, terangnya.
Ditambahkan Pratama setelah rentetan kebocoran yang tidak berujung maka saat ini yang terpenting adalah segera membentuk lembaga pengawas PDP atau apapun namanya, Komisi PDP misalnya. Ini sudah diamanatkan UU PDP agar presiden membentuk Komisi PDP segera setelah UU berlaku. Komisi PDP ini nanti yang tidak hanya mengawasi namun juga melakukan penegakan aturan serta menciptkan standar keamanan tertentu dalam proses pengolahan pemrosesan data. Dalam kasus kebocoran data seperti aplikasi PeduliLindungi ini, bila ada masyarakat yang dirugikan bisa nantinya melakukan gugatan lewat Komisi PDP.
Narasumber
Dr. Pratama Persadha
Chairman CISSReC