Kelompok peretas bernama Stormous mengklaim telah mengakses data sensitif, termasuk info karyawan, detail pelanggan, dan lainnya milik PT Kereta Api Indonesia (Persero) atau PT KAI. Kelompok tersebut juga telah membagikan sampel data yang mereka klaim curi sebesar ukuran 2,2 gigabyte.
Tidak hanya itu, mereka meminta PT KAI membayar tebusan sebesar 11,69 bitcoin atau sekitar Rp11,7 miliar dengan tenggat waktu hingga 29 Januari 2024. Jika tidak terpenuhi, mereka mengancam akan menyebarkan data yang sudah mereka dapat.
Plt. Executive Vice President Corporate Secretary PT KAI, Raden Agus Dwinanto Budiadji mengatakan, belum ada bukti kebocoran data benar-benar terjadi. Agus mengatakan, KAI telah berkoordinasi dengan National Computer Security Incident Response Team (NatCSIRT) dalam penanganan kasus ini pada 15 Januari 2024.
“Selanjutnya dilakukan penelusuran bersama, di mana untuk sementara belum ditemukan bukti terjadinya kebocoran di sistem IT KAI,” kata Agus dalam keterbukaan informasi Bursa Efek Indonesia (BEI) pada Jumat, 19 Januari 2024.
Agus menambahkan KAI akan bekerja sama dengan pihak berwajib untuk mengusut kasus tersebut. KAI juga berkomitmen tidak akan tunduk terhadap tindak kriminal pemerasan ini.
Indonesia sebenarnya sudah memiliki Undang-undang nomor 27 tahun 2022 tentang Pelindungan Data Pribadi untuk kasus seperti ini. Namun, sejak terbit dari 2022, UU ini belum dapat dijalankan karena masih belum ada aturan turunan dari kementerian terkait.