Peretas (hacker) Bjorka menjual 3,2 miliar data yang diklaim dari aplikasi PeduliLindungi US$ 100 ribu atau sekitar Rp 1,5 miliar di forum Breached.to. Ahli informasi dan teknologi (IT) menilai, ini sangat berbahaya bagi Indonesia jika benar bocor.
Chairman lembaga riset siber Communication and Information System Security Research Center (CISSReC) Pratama Persadha mengatakan, data masyarakat terekspos secara langsung, jika benar aplikasi PeduliLindungi dibobol.
Masyarakat yang data PeduliLindungi-nya bocor pun akan menjadi objek penipuan dan tindak kejahatan siber lainnya. “Misalnya dengan nomor ponsel yang valid, mereka akan mendapatkan telemarketing palsu yang mengaku dari bank atau pihak lain,” katanya kepada Katadata.co.id, Rabu (16/11).
Data tersebut juga bisa digunakan untuk mengajukan pinjaman online (pinjol) ilegal. Pelaku kejahatan siber juga dapat memakainya untuk mengambil dana dari rekening nasabah.
“Bisa juga untuk order fiktif dengan metode bayar ditempat alias COD,” kata Pratama.
Data-data yang bocor juga bisa dipakai untuk menawarkan judi online melalui WhatsApp.
Belum lagi, data PeduliLindungi yang diklaim oleh hacker Bjorka mencakup data vaksinasi, riwayat check-in, dan riwayat pelacakan kontak. Pelaku kejahatan bisa mengetahui ke mana saja orang bepergian.
Selain itu, data tersebut bisa dipakai oleh partai politik. “Bisa kirim iklan politik secara targeted,” ujarnya.
Data yang diklaim oleh Bjorka 3.250.144.777 dengan total ukuran 157 GB sebelum dikompres.
Data itu terdiri dari nama, email, nomor Kartu Tanda Penduduk (KTP), nomor ponsel, tanggal lahir, identitas perangkat, status Covid-19, riwayat check-in, pelacakan kontak hingga vaksinasi.
Hacker Bjorka membanderol data-data itu US$ 100 ribu menggunakan bitcoin. Ia juga membagikan data sampel yang dibagi menjadi lima file yaitu:
- Data Pengguna 94 juta
- Akun yang sudah disortir 94 juta
- Data vaksinasi 209 juta
- Data riwayat check-in 1,3 miliar
- Riwayat pelacakan kontak 1,5 miliar
Pratama mengecek data sampel tersebut menggunakan aplikasi pengecek nomor KTP. Hasilnya, informasi ini terdata di data kependudukan.
Ia juga memeriksa koordinat lokasi. Hasilnya,bertepatan dengan fitur check-in PeduliLindungi di tempat-tempat publik.
"Sumber data belum jelas. Namun soal asli atau tidaknya, data ini hanya instansi yang terlibat dalam pembuatan aplikasi PeduliLindungi (yang tahu),” kata dia.
Instansi yang dimaksud yaitu:
- Kementerian Komunikasi dan Informatika (Kominfo)
- Kementrian Badan Usaha Milik Negara (BUMN)
- Kementerian Kesehatan (Kemenkes)
- Telkom
Hal senada disampaikan oleh Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya. “Datanya kemungkinan besar valid dan memang menjadi pertanyaan besar, kok basis data sebesar itu bisa bocor,” kata dia kepada Katadata.co.id, Rabu (16/11).
Ia juga mempertanyakan data PeduliLindungi tidak dienkripsi. Terlebih lagi, Bjorka mengklaim data itu didapat bulan ini.
“Itu menimbulkan pertanyaan besar. Apakah badan publik yang mengelola big data sedemikian besar dan penting kok sebegitunya memperlakukan data yang dipercayakan kepadanya,” ujar Alfons.