Peretas (hacker) Bjorka menjual 3,2 miliar data yang diklaim dari aplikasi PeduliLindungi US$ 100 ribu atau sekitar Rp 1,5 miliar di forum Breached.to. Badan Siber dan Sandi Negara (BSSN) mengungkapkan bahwa stakeholder terkait tengah melakukan investigasi.
Pihak terkait yang dimaksud yakni BSSN, Kementerian Kesehatan (Kemenkes), Kementerian Komunikasi dan Informatika (Kominfo), dan PT Telkom.
“Kami berkoordinasi, melakukan validasi data, serta investigasi dalam rangka memastikan dugaan kebocoran data pengguna aplikasi PeduliLindungi tersebut,” kata juru Bicara BSSN Ariandi Putra kepada Katadata.co.id, Jumat (18/11).
Langkah-langkah teknis yang dilakukan di antaranya:
- Validasi data-data yang dipublikasikan oleh threat actor dengan data yang ada pada aplikasi PeduliLindungi
- Mengakuisisi log firewall, imaging virtual machine, dan snapshot aplikasi di server aplikasi PeduliLindungi
Proses-proses tersebut masih berlangsung. “Tim Cyber Threat Intelligence BSSN pada Selasa (15/11) Pukul 13.42 WIB menemukan unggahan di Deep Web pada forum breached.to oleh Threat Actor Bjorka dengan memberikan 40 record sampel data,” ujar Ariandi.
Sebelumnya Kepala Biro Komunikasi dan Pelayanan Publik Kemenkes dr. Siti Nadia Tarmizi mengatakan, belum ada informasi terkait hal tersebut. “Belum dapat jawaban dari unitnya,” kata dia kepada Katadata.co.id, Rabu (16/11).
Bjorka mengklaim memiliki 3,250,144,777 dengan ukuran sebesar 157 GB dengan data berupa data vaksinasi, data history check-in dan data kontak tracing history data pengguna aplikasi PeduliLindungi.
Data itu terdiri dari nama, email, nomor Kartu Tanda Penduduk (KTP), nomor ponsel, tanggal lahir, identitas perangkat, status Covid-19, riwayat check-in, pelacakan kontak hingga vaksinasi.
Bjorka juga membagikan data sampel yang dibagi menjadi lima file yaitu:
- Data Pengguna 94 juta
- Akun yang sudah disortir 94 juta
- Data vaksinasi 209 juta
- Data riwayat check-in 1,3 miliar
- Riwayat pelacakan kontak 1,5 miliar
Chairman lembaga riset siber Communication and Information System Security Research Center (CISSReC) Pratama Persadha mengatakan, bila mengecek data sampel tersebut menggunakan aplikasi pengecek nomor KTP. Hasilnya, informasi ini terdata di data kependudukan.
Ia juga memeriksa koordinat lokasi. Hasilnya,bertepatan dengan fitur check-in PeduliLindungi di tempat-tempat publik.
"Sumber data belum jelas. Namun soal asli atau tidaknya, data ini hanya instansi yang terlibat dalam pembuatan aplikasi PeduliLindungi (yang tahu),” kata Pratama kepada Katadata.co.id, Selasa (15/11).
Instansi yang dimaksud yaitu:
- Kementerian Komunikasi dan Informatika (Kominfo)
- Kementerian Badan Usaha Milik Negara (BUMN)
- Kementerian Kesehatan (Kemenkes)
- Telkom
“Sangat disayangkan data yang sangat sensitif ini tidak maksimal pengamanannya misalnya, dengan enkripsi data. Jalan terbaik harus audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana,” ujar Pratama.
Selain itu, perlu dicek terlebih dulu soal sistem informasi dari aplikasi PeduliLindungi yang datanya dibocorkan oleh Bjorka. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data.
“Namun dengan pengecekan menyeluruh dan digital forensic, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data terjadi karena insider atau oleh ‘orang dalam’,” tambah dia.
Hal senada disampaikan oleh Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya. “Datanya kemungkinan besar valid dan memang menjadi pertanyaan besar, kok basis data sebesar itu bisa bocor,” kata dia kepada Katadata.co.id, Rabu (16/11).
Ia juga mempertanyakan data PeduliLindungi tidak dienkripsi. Terlebih lagi, Bjorka mengklaim data itu didapat bulan ini.
“Itu menimbulkan pertanyaan besar. Apakah badan publik yang mengelola big data sedemikian besar dan penting kok sebegitunya memperlakukan data yang dipercayakan kepadanya,” ujar Alfons.