Peretas (hacker) Bjorka menjual 3,2 miliar data yang disebut dari aplikasi PeduliLindungi US$ 100 ribu atau sekitar Rp 1,5 miliar di forum Breached.to. Ahli informasi dan teknologi (IT) mengatakan, data ini valid.
Hal itu diketahui setelah Chairman lembaga riset siber Communication & Information System Security Research Center (CISSReC) Pratama Persadha memeriksa sampel yang diunggah oleh Bjorka.
Data yang diklaim oleh Bjorka 3.250.144.777 dengan total ukuran 157 GB sebelum dikompres. Ini terdiri dari nama, email, nomor Kartu Tanda Penduduk (KTP), nomor ponsel, tanggal lahir, identitas perangkat, status Covid-19, riwayat check-in, pelacakan kontak hingga vaksinasi.
“Dijual US$ 100 ribu menggunakan bitcoin,” kata Pratama kepada Katadata.co.id, Selasa (15/11).
Bjorka juga membagikan data sampel yang dibagi menjadi lima file yaitu:
- Data Pengguna 94 juta
- Akun yang sudah disortir 94 juta
- Data vaksinasi 209 juta
- Data iwayat ceck-in 1,3 miliar
- Riwayat pelacakan kontak 1,5 miliar
Pratama mengecek data sampel tersebut menggunakan aplikasi pengecek nomor KTP. Hasilnya, informasi ini terdata di data kependudukan.
Ia juga memeriksa koordinat lokasi. Hasilnya,bertepatan dengan fitur check-in PeduliLindungi di tempat-tempat publik.
"Sumber data belum jelas. Namun soal asli atau tidaknya, data ini hanya instansi yang terlibat dalam pembuatan aplikasi PeduliLindungi (yang tahu),” kata dia.
Instansi yang dimaksud yaitu:
- Kementerian Komunikasi dan Informatika (Kominfo)
- Kementrian Badan Usaha Milik Negara (BUMN)
- Kementerian Kesehatan (Kemenkes)
- Telkom
“Sangat disayangkan data yang sangat sensitif ini tidak maksimal pengamanannya misalnya, dengan enkripsi data. Jalan terbaik harus audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana,” ujar Pratama.
Katadata.co.id sudah mengonfirmasi dugaan kebocoran data itu kepada Kemenkes. Namun belum ada tanggapan.