Investigasi Kominfo: Data yang Bocor Diduga Kuat Milik BPJS Kesehatan
Kementerian Komunikasi dan Informatika (Kominfo) telah menginvestigasi dugaan kebocoran data 279 juta peserta Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan. Hasilnya, jutaan data diduga kuat identik dengan data yang ada di BPJS Kesehatan.
Juru bicara Kementerian Kominfo Dedy Permadi mengatakan hasil dari investigasi yang dilakukan kementerian sejak kemarin (20/5), menemukan bahwa akun bernama Kotz menjual data pribadi di forum peretas. Akun Kotz merupakan pembeli sekaligus penjual data pribadi (reseller).
Akun Kotz mengungkapkan dari 279 juta data yang bocor, ada sebanyak 1 juta data yang bisa diakses secara gratis sebagai sampel. Namun, setelah diinvestigasi Kominfo, data yang ada hanya berjumlah 100.002, bukan 1 juta.
"Dari sampel itu kami menemukan bahwa data diduga kuat identik dengan data BPJS Kesehatan," ujar Dedy kepada Katadata.co.id, Jumat (21/5).
Hal tersebut mengacu pada data nomor kartu, kode kantor, data keluarga/data tanggungan, serta status pembayaran yang identik dengan data BPJS Kesehatan.
Atas temuan itu, Kementerian Kominfo langsung melakukan berbagai langkah antisipatif untuk mencegah penyebaran data yang lebih luas. "Kami mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut," katanya.
Akun Kotz telah membagikan tiga tautan yakni bayfiles.com, mega.nz, dan anonfiles.com. Tautan bayfiles.com dan mega.nz telah dilakukan pemblokiran (takedown). Kementerian Kominfo mengatakan masih terus berupaya memutuskan akses tautan anonfiles.com.
Selain itu, hari ini, Jumat (21/5), Kementerian Kominfo melanjutkan investigasinya. Kementerian akan memanggil Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor.
Perusahaan keamanan siber asal Rusia, Kaspersky mengkhawatirkan adanya pelanggaran lebih lanjut dari kebocoran data di dunia maya. General Manager Kaspersky untuk Asia Tenggara Yeo Siang Tiong mengatakan data yang sudah terlanjur tersebar dan dijualbelikan bisa dimanfaatkan oleh pihak lain untuk melakukan tindakan kejahatan siber, seperti penipuan atau phishing.
"Dengan meningkatnya aktivitas online, akan selalu terjadi gerakan rahasia oleh para pelaku kejahatan dunia maya apapun teknik dan strateginya," kata Yeo dalam siaran pers, hari ini (21/5).
Sedangkan, Lembaga Studi dan Advokasi Masyarakat (ELSAM) mengatakan kasus dugaan kebocoran data 279 juta warga RI ini menunjukkan bahwa, Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) mendesak untuk disahkan.
Hingga kini UU PDP belum juga rampung dan pembahasannya beberapa kali molor dari target. Dari rencana awal 2019, RUU PDP kemudian, ditarget selesai November 2020. Lalu molor menjadi Desember 2020, kemudian Maret 2021. Setelahnya molor lagi.
"Kekosongan hukum pelindungan data pribadi yang komprehensif telah memunculkan sejumlah permasalahan dalam tata kelola pelindungan data, baik pada sektor publik maupun sektor privat," kata Direktur Eksekutif ELSAM Wahyudi Djafar dalam siaran pers.
Kebocoran data milik BPJS Kesehatan awalnya diungkap oleh pengguna Twitter dengan nama akun @ndagels. Ia mencuit konten yang menampilkan cuplikan situs jual beli data.
"Data 279 juta penduduk Indonesia bocor dan dijual, Bahkan ada data orang yang sudah meninggal," katanya, Kamis (20/5).
Dalam cuitan selanjutnya, ia mengatakan kumpulan data BPJS Kesehatan yang bocor itu dijual dengan 0,15 bitcoin atau sekitar US$ 6 ribu (Rp 86,4 juta).
Unggahan itu menampilkan akun bernama kotz yang mengklaim dirinya memiliki data 279 juta peserta BPJS Kesehatan. Data itu meliputi nama peserta, KTP, gaji, nomor ponsel, email, serta alamat.
Dia menjual data-data itu di forum peretas, raidforums.com. Namun satu juta data diberikan gratis tanpa kata sandi, sebagai contoh. "Ada juga 20 juta data yang memiliki foto pribadi," kata akun itu dikutip dari forum.