Peretas (hacker) Bjorka menjual 3,2 miliar data yang diklaim dari aplikasi PeduliLindungi US$ 100 ribu atau sekitar Rp 1,5 miliar di forum Breached.to. Ahli informasi dan teknologi (IT) pun mengungkapkan potensi sumber kebocoran data.
Chairman lembaga riset siber Communication and Information System Security Research Center (CISSReC) Pratama Persadha menyebutkan, data yang diklaim oleh Bjorka 3.250.144.777 dengan total ukuran 157 GB sebelum dikompres.
Data itu terdiri dari nama, email, nomor Kartu Tanda Penduduk (KTP), nomor ponsel, tanggal lahir, identitas perangkat, status Covid-19, riwayat check-in, pelacakan kontak hingga vaksinasi.
“Dijual US$ 100 ribu menggunakan bitcoin,” kata Pratama kepada Katadata.co.id, Selasa (15/11).
Bjorka juga membagikan data sampel yang dibagi menjadi lima file yaitu:
- Data Pengguna 94 juta
- Akun yang sudah disortir 94 juta
- Data vaksinasi 209 juta
- Data iwayat ceck-in 1,3 miliar
- Riwayat pelacakan kontak 1,5 miliar
Pratama mengecek data sampel tersebut menggunakan aplikasi pengecek nomor KTP. Hasilnya, informasi ini terdata di data kependudukan.
Ia juga memeriksa koordinat lokasi. Hasilnya,bertepatan dengan fitur check-in PeduliLindungi di tempat-tempat publik.
"Sumber data belum jelas. Namun soal asli atau tidaknya, data ini hanya instansi yang terlibat dalam pembuatan aplikasi PeduliLindungi (yang tahu),” kata dia.
Instansi yang dimaksud yaitu:
- Kementerian Komunikasi dan Informatika (Kominfo)
- Kementrian Badan Usaha Milik Negara (BUMN)
- Kementerian Kesehatan (Kemenkes)
- Telkom
“Sangat disayangkan data yang sangat sensitif ini tidak maksimal pengamanannya misalnya, dengan enkripsi data. Jalan terbaik harus audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana,” ujar Pratama.
Selain itu, perlu dicek terlebih dulu soal sistem informasi dari aplikasi PeduliLindungi yang datanya dibocorkan oleh Bjorka. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data.
“Namun dengan pengecekan menyeluruh dan digital forensic, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data terjadi karena insider atau oleh ‘orang dalam’,” tambah dia.
Menurutnya, kebocoran data oleh ‘orang dalam’ bukan hal baru. Selama ini, ia mencatat ada tiga penyebab utama data bocor, yaitu:
- Peretasan karena human error
- Tindakan orang dalam
- Adanya kesalahan dalam sistem informasi yang dibobol
“Bila benar ini data PeduliLindungi, maka berlaku Pasal 46 UU PDP atau Undang-undang Pelindungan Data Pribadi ayat 1 dan 2,” kata Pratama.
Pasal itu berbunyi, “jika terjadi kegagalan perlindungan data pribadi maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam,” demikian dikutip.
Pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, serta upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi.
Ia mendorong pemerintah segera membentuk lembaga pengawas pelindungan data pribadi. Hal ini diamanatkan oleh UU PDP dan dibentuk oleh presiden.
“Dalam kasus kebocoran data seperti aplikasi PeduliLindungi ini, bila ada masyarakat yang dirugikan bisa nantinya melakukan gugatan lewat Komisi Pelindungan Data Pribadi,” kata dia.
Katadata.co.id sudah mengonfirmasi dugaan kebocoran data itu kepada Kemenkes. Namun belum ada tanggapan.