Ahli Keamanan Siber Sayangkan KPU Tidak Memproteksi Data Pemilih

ANTARA FOTO/Irfan Anshori/nz
Data 2,3 juta pemilih tetap milik KPU diduga telah diretas dan dijual di forum database sharing, RaidForums.com. Ahli keamanan siber menyayangkan KPU tidak memproteksi data yang diklaim sebagai data terbuka tersebut.
Penulis: Happy Fajrian
22/5/2020, 18.32 WIB

Publik Tanah Air dikejutkan oleh kebocoran data 2,3 juta pemilih tetap milik Komisi Pemilihan Umum (KPU). Ahli keamanan siber dan ketua lembaga riset siber Indonesia CISSReC Pratama Persadha menilai meski data tersebut data terbuka, bukan berarti data tersebut tidak perlu dilindungi.

“Data yang disebar tanpa enkripsi sama sekali. Nomor KTP dan KK bersamaan misalnya bisa digunakan untuk mendaftarkan nomor seluler dan juga melakukan pinjaman online bila pelaku mahir melengkapi data,” jelas Pratama dalam siaran pers yang diterima Katadata.co.id, Jumat (22/5).

Menurut dia, informasi tersebut tetap harus dilindungi, minimal dienkripsi agar tidak sembarangan orang bisa memanfaatkannya karena adanya data nomor KTP dan KK.

“Apalagi verifikasi data DPT (daftar pemilih tetap) hanya perlu data NIK. Jangan semua data dijadikan satu apalagi tanpa pengamanan,” ujarnya.

(Baca: 200 Juta Data Pemilih Terancam Diretas, KPU Masih Periksa Server)

Pratama menambahkan bila data ini dikombinasikan dengan data Tokopedia dan Bukalapak yang lebih dulu terekspos, maka akan dihasilkan data yang cukup berbahaya dan bisa dimanfaatkan untuk kejahatan.

Dia mencontohkan seperti mengkombinasikan data telepon dari marketplace dengan data KTP dan KK. “Jelas ini sangat berbahaya," ujarnya.

Dia menilai peristiwa ini juga harus menjadi peringatan bagi dukcapil agar bisa mengamankan data kependudukan. Perlu dipikirkan lebih jauh terkait pengamanan enkripsi pada data penduduk

Peristiwa ini juga membuat pengamanan sistem IT KPU dipertanyakan. Apalagi 2020 ada agenda pilkada, jangan sampai ini menjadi isu tersendiri bagi KPU. Selama ini sistem IT KPU selalu dijadikan rujukan saat hitung cepat hasil pemilu maupun pilkada.

(Baca: Akademisi Ungkap Penyebab RI Rawan Zoomboombing hingga Kebocoran Data)

“Kita tentu khawatir, setiap gelaran pemilu dan pilkada KPU selalu mendapat ancaman untuk diretas. Bagi dukcapil kerawanan ini harus menjadi catatan penting untuk waspada, jangan sampai sistem ditembus dan peretas bisa memodifikasi sesuka mereka,” tegas Pratama.

Namun dia juga melihat ada kemungkinan data yang disebar memang sebelumnya sudah ada di publik. Karena data pemilu 2014 sudah lama tersebar di forum internet. Seluruh data DPT ternyata juga di share ke beberapa stakeholder KPU.

Tetapi kalau melihat isi folder DPT DIY yang ikut dipublikasikan, ada kemungkinan memang si peretas bisa masuk ke sistem IT KPU atau sistem IT stakeholder KPU yang juga memiliki data ini.

Untuk memastikannya Pratama mendesak agar sistem IT KPU diaudit keamanan informasinya (digital forensic) untuk menjawab isu kebocoran data ini. Audit ini juga bisa menemukan sebab dan celah kebocoran sistem kalau memang ada.

(Baca: Pencurian Data Pengguna E-Commerce Kian Marak)

“Karena kalau pelaku bisa masuk ke server KPU, ada kemungkinan tidak hanya DPT yang mereka ambil, tapi juga bisa mengakses hasil perhitungan Pemilu. Secara teknis kalau peretas bisa mencuri data, ada kemungkinan juga bisa merubah data. Sangat bahaya sekali apabila hasil pemungutan suara pemilu diubah angkanya,” ujarnya.

Data Tersebar di RaidForums.com dan Telah Diunduh 100 User

Adapun data yang disebar di forum internet mencakup nama, jenis kelamin, alamat, nomor KTP dan KK, tempat tanggal lahir, usia, status lajang atau menikah. Data yang disebar pelaku adalah data 2013, setahun sebelum pemilu 2014, sebagian besar data pemilih DIY.

Kebocoran data ini dikabarkan oleh akun twitter @underthebreach dan sempat tersebar di Raid Forums  yang bisa diunduh oleh anggota forum tersebut secara gratis. Adapun akun yang menyebarkan data pemilih di Raid Forums bernama Arlinst.

(Baca: DPR Khawatir Data Warga yang Ikut Rapid Test dan PCR Disalahgunakan)

Walaupun saat ini jika dicek kembali, halaman yang dibuat oleh Arlinst ini sudah hilang. Namun data sudah diunduh oleh sekitar 100 akun. Untuk menunduh data tersebut, setiap akun harus memiliki minimal 8 kredit. Setiap 30 kredit dapat dibeli seharga 8 euro via paypal.

“Bahkan saat dicek di twitter banyak akun yang mentracking akun Arlinst dan mencurigai akun tersebut sedang mencari sensasi, terlihat dari beberapa akun medsos dan marketplace-nya,” kata Pratama.