Kominfo Ungkap Motif Dugaan 204 Juta Data KPU Bocor: Bukan Politik

ANTARA FOTO/Aloysius Jarot Nugroho/foc.
Petugas KPU Kabupaten Boyolali melayani verifikasi dokumen bakal calon legislatif di Kantor Komisi Pemilihan Umum (KPU) Kabupaten Boyolali, Jawa Tengah, Kamis (22/6/2023).
Penulis: Lenny Septiani
1/12/2023, 12.19 WIB

Sebanyak 204 juta data KPU atau pemilih Pemilu di situs kpu.go.id diduga bocor. Kominfo atau Kementerian Komunikasi dan Informatika menilai motif peretas terkait data KPU bocor yakni ekonomi.

“Itu motif ekonomi,” kata Menteri Kominfo Budi Arie Setiadi kepada media di Jakarta, Kamis (30/11).

Hacker yang menyebut dirinya memiliki data KPU bocor yakni Jimbo memang menjual informasi ini US$ 74 ribu atau sekitar Rp 1,2 miliar di dark web.

Budi Arie pun menyampaikan hal itu kepada DPR dalam rapat kerja alias raker dengan Komisi I pada Rabu (29/11). “Kami ingin meyakinkan kalau ini tidak ada motif politik. Ini motif bisnis," katanya.

“Soal motif, kami berani jamin ini untuk kepentingan komersial. Diperjualbelikan datanya. Ini kesimpulan sementara,” Budi menambahkan.

Oleh karena itu, Menteri Kominfo mengimbau masyarakat untuk tidak mengaitkan dugaan data KPU bocor tersebut dengan isu politik. “Data ini menjadi komoditas untuk diperjualbelikan,” ujarnya.

Data KPU Bocor Valid?

Hacker Jimbo membagiakn 500 ribu data di situs BreachForums. Peretas ini juga mengunggah beberapa tangkapan layar dari situs cekdptonlind.kpu.go.id untuk memverifikasi kebenaran data yang ia dapatkan.

Jimbo menyampaikan, dirinya memperoleh 252 juta data pemilih Pemilu dari situs KPU. Setelah disaring, terdapat 204.807.203 data unik.

“Jumlah tersebut hampir sama dengan jumlah pemilih dalam Daftar Pemilih Tetap alias DPT KPU yang berjumlah 204.807.222 pemilih dari dengan 514 kab/kota di Indonesia, serta 128 negara perwakilan,” kata Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha dalam keterangan pers, Selasa malam (27/11).

Data pemilih Pemilu yang diperoleh hacker Jimbo mencakup Nomor Induk Kependudukan alias NIK, Nomor Kartu Keluarga dan Kartu Tanda Penduduk atau KTP maupun paspor.

Selain itu, memuat nama lengkap, jenis kelamin, tanggal dan tempat lahir, status pernikahan, alamat lengkap, RT, RW, kodefikasi kelurahan, kecamatan dan kabupaten serta kodefikasi TPS.

Tim CISSReC juga memverifikasi data contoh pemilih Pemilu tersebut. “Hasilnya, data yang dikeluarkan oleh website cekdpt sama dengan data sampel yang dibagikan oleh hacker Jimbo, termasuk nomor TPS di mana pemilih terdaftar,” kata Pratama.

Pratama menyampaikan, berdasarkan tangkapan layar lainnya yang dibagikan oleh hacker Jimbo, nampak halaman website KPU. Oleh karena itu, ia menduga yang kemungkinan berasal dari halaman dashboard pengguna.

“Kemungkinan besar Jimbo berhasil mendapatkan akses login dengan role Admin KPU dari domain sidalih.kpu.go.id menggunakan metode phishingsocial engineering atau melalui malware,” ujar Pratama.

“Itu membuat Jimbo dapat mengunduh data pemilih dan beberapa data lainnya,” Pratama menambahkan.

Bahaya Data KPU Bocor

Jika hacker Jimbo benar-benar berhasil mendapatkan kredensial dengan role Admin, hal ini bisa sangat berbahaya pada hasil Pemilu yang akan digelar pada Februari 2024. Data ini dapat digunakan untuk mengubah hasil rekapitulasi penghitungan suara.

Pratama menyampaikan, KPU perlu melakukan audit dan investigasi forensik dari sistem keamanan dan server KPU. “Sambil investigasi, ada baiknya tim IT KPU mengubah username dan password dari seluruh akun yang memiliki akses ke sistem, sehingga bisa mencegah akun yang sudah diretas kembali digunakan,” ujarnya.

Selain itu, data lengkap pemilih Pemilu di situs KPU tersebut bisa digunakan untuk tindak kejahatan misalnya, mengajukan pinjaman online alias pinjol mengatasnamakan orang lain.

Tindak kejahatan lain yang dapat dilakukan oleh oknum yang mendapatkan data KPU bocor tersebut di antaranya:

  • Spam iklan
  • Penawaran judi online
  • Pinjol ilegal
  • Penipuan lewat telemarketing
  • Mengaku-ngaku sebagai aparat atau keluarga dekat, lalu mengelabui korban untuk mentransfer sejumlah uang
  • Berpura-pura dari bank BUMN dan menginfokan bahwa tagihan Kredit Tanpa Agunan atau KTA pengguna jatuh tempo
  • Dengan tambahan data nama ibu kandung, pelaku bisa mengakses rekening, akun e-commerce hingga fintech milik korban

Jika merujuk pada Undang-undang Pelindungan Data Pribadi atau UU PDP, Wakil Ketua Komisi I DPR Abdul Kharis Almasyhari meminta KPU bertanggung jawab terkait dugaan kebocoran data DPT Pemilu 2024.

“UU PDP itu mengamanatkan, kalau data itu dicuri, siapapun yang mencuri, maka KPU harus bertanggung jawab,” kata  Kharis saat memimpin Rapat Kerja Komisi I DPR dengan Kominfo, Rabu (29/11).

Reporter: Lenny Septiani