Kata Kemenkes Soal Bjorka Jual 3,2 Miliar Data PeduliLindungi

Peretas (hacker) Bjorka menjual 3,2 miliar data yang diklaim dari aplikasi PeduliLindungi US$ 100 ribu atau sekitar Rp 1,5 miliar di forum Breached.to. Namun Kementerian Kesehatan (Kemenkes), serta Kementerian Komunikasi dan Informatika (Kominfo) belum memberi tanggapan.

Kepala Biro Komunikasi dan Pelayanan Publik Kemenkes dr. Siti Nadia Tarmizi mengatakan, belum ada informasi terkait hal tersebut. “Belum dapat jawaban dari unitnya,” kata dia kepada Katadata.co.id, Rabu (16/11).

Katadata.co.id juga sudah mengonfirmasi hal tersebut kepada Kominfo. Namun belum ada tanggapan hingga hari ini.

Chairman lembaga riset siber Communication and Information System Security Research Center (CISSReC) Pratama Persadha menyebutkan, data yang diklaim oleh Bjorka 3.250.144.777, dengan total ukuran 157 GB sebelum dikompres.

Data itu terdiri dari nama, email, nomor Kartu Tanda Penduduk (KTP), nomor ponsel, tanggal lahir, identitas perangkat, status Covid-19, riwayat check-in, pelacakan kontak hingga vaksinasi. 

“Dijual US$ 100 ribu menggunakan bitcoin,” kata Pratama kepada Katadata.co.id, Selasa (15/11).

Bjorka juga membagikan data sampel yang dibagi menjadi lima file yaitu: 

• Data Pengguna 94 juta 
• Akun yang sudah disortir 94 juta
• Data vaksinasi 209 juta
• Data riwayat check-in 1,3 miliar
• Riwayat pelacakan kontak 1,5 miliar

Pratama mengecek data sampel tersebut menggunakan aplikasi pengecek nomor KTP. Hasilnya, informasi ini terdata di data kependudukan.

Ia juga memeriksa koordinat lokasi. Hasilnya,bertepatan dengan fitur check-in PeduliLindungi di tempat-tempat publik. 

"Sumber data belum jelas. Namun soal asli atau tidaknya, data ini hanya instansi yang terlibat dalam pembuatan aplikasi PeduliLindungi (yang tahu),” kata dia.

Instansi yang dimaksud yaitu:

• Kementerian Komunikasi dan Informatika (Kominfo)
• Kementrian Badan Usaha Milik Negara (BUMN)
• Kementerian Kesehatan (Kemenkes)
• Telkom 

“Sangat disayangkan data yang sangat sensitif ini tidak maksimal pengamanannya misalnya, dengan enkripsi data. Jalan terbaik harus audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana,” ujar Pratama.

Selain itu, perlu dicek terlebih dulu soal sistem informasi dari aplikasi PeduliLindungi yang datanya dibocorkan oleh Bjorka. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data.

“Namun dengan pengecekan menyeluruh dan digital forensic, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data terjadi karena insider atau oleh ‘orang dalam’,” tambah dia.

Hal senada disampaikan oleh Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya. “Datanya kemungkinan besar valid dan memang menjadi pertanyaan besar, kok basis data sebesar itu bisa bocor,” kata dia kepada Katadata.co.id, Rabu (16/11).

Ia juga mempertanyakan data PeduliLindungi tidak dienkripsi. Terlebih lagi, Bjorka mengklaim data itu didapat bulan ini.

“Itu menimbulkan pertanyaan besar. Apakah badan publik yang mengelola big data sedemikian besar dan penting kok sebegitunya memperlakukan data yang dipercayakan kepadanya,” ujar Alfons.