Data BPJS Kesehatan yang Bocor Bisa Digunakan untuk Membobol Bank

Data 279 juta orang warga Indonesia milik Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan dikabarkan bocor dan dijual di forum peretas, raidforums.com. Ahli teknologi informasi (IT) menyebutkan data itu berisiko disalahgunakan untuk tindakan kejahatan seperti pembobolan bank hingga pemalsuan Kartu Tanda Penduduk (KTP).

Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya mengatakan mengatakan berdasarkan informasi yang disebarkan di situs forum peretas, dari 279 juta data yang bocor, ada sebanyak 1  juta sampel data yang dibagikan gratis.

Sampel data itu mayoritas berhubungan dengan data kependudukan seperti nama lengkap, tanggal lahir, Nomor Induk Kependudukan (NIK), email, hingga nomor ponsel. "Risikonya adalah penyalahgunaan data kependudukan. Implikasinya bisa digunakan untuk pemalsuan KTP dan pembukaan rekening bank bodong," ujarnya kepada Katadata.co.id, Jumat (21/5).

Peneliti keamanan siber dari Communication Information System Security Research Center (CISSReC) Pratama Persada juga mengatakan, data-data BPJS Kesehatan yang melimpah juga bisa dijadikan alat tindakan kejahatan perbankan. "Data itu bisa digunakan untuk menjebol rekening korban,” ujar Pratama.

Dampak lainnya, data 279 juta warga Indonesia yang bocor bisa dijadikan alat untuk melakukan penipuan. Para pelaku kejahatan itu akan memanfaatkan data yang melimpah untuk melakukan serangan rekayasa sosial (sosial engineering). 

"Walaupun tidak ditemukan data sensitif seperti detail kartu kredit,  namun bagi pelaku penjahat dunia maya, data itu sudah cukup untuk menyebabkan kerusakan dan ancaman nyata," kata Pratama.

Menurutnya, pelaku kejahatan dapat menggabungkan informasi dari file yang bocor milik BPJS Kesehatan dengan pelanggaran data lain dari kebocoran data pengguna Tokopedia, Bhinneka, Bukalapak dan lainnya. Ujungnya, pelaku kejahatan bisa membuat profil terperinci dari calon korban dengan memakai cara penggabungan data itu.

Ia menyayangkan karena data yang bocor merupakan data yang dihimpun oleh negara. Untuk mengantisipasi kejadian serupa, Pratama menyarankan agar seluruh instansi pemerintahan wajib bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) untuk melakukan audit digital forensik. Tujuannya, untuk mengetahui lubang-lubang keamanan yang bisa dibobol.

“Pemerintah juga wajib melakukan pengujian sistem atau Penetration Test (Pentest) minimal secara berkala kepada seluruh sistem lembaga pemerintahan," kata Pratama.

Menurutnya, langkah tersebut merupakan prinsip keamanan siber dan langkah preventif, sehingga sedari awal dapat ditemukan kelemahan yang harus diperbaiki.

Di sisi lain, kejadian kebocoran data itu menunjukan Undang-Undang Perlindungan Data Pribadi (UU PDP) sangat dibutuhkan. "Tentunya, tidak ingin kejadian ini berulang, karena itu UU PDP sangat diperlukan kehadirannya," katanya.

Sayangnya, UU PDP belum juga rampung. Pembahasan RUU PDP beberapa kali molor dari target. Dari rencana awal 2019, RUU PDP kemudian, ditarget selesai November 2020. Lalu molor menjadi Desember 2020, kemudian Maret 2021. Setelahnya molor lagi.

Bocornya data 279 juta milik BPJS Kesehatan awalnya diungkap oleh pengguna Twitter dengan nama akun @ndagels. Ia mencuit konten yang menampilkan cuplikan situs jual beli data.

"Data 279 juta penduduk Indonesia bocor dan dijual, Bahkan ada data orang yang sudah meninggal," katanya, Kamis (20/5).

Dalam cuitan selanjutnya, ia mengatakan kumpulan data BPJS Kesehatan yang bocor itu dijual dengan 0,15 bitcoin atau sekitar Rp 86,4 juta.

Unggahan itu menampilkan akun bernama kotz yang mengklaim dirinya memiliki data 279 juta peserta BPJS Kesehatan. Data itu meliputi nama peserta, KTP, gaji, nomor ponsel, email, serta alamat.

Dia menjual data-data itu di forum peretas, raidforums.com. Namun satu juta data diberikan gratis tanpa kata sandi, sebagai contoh. "Ada juga 20 juta data yang memiliki foto pribadi," kata akun itu dikutip dari forum.

Saat ini, Kementerian Komunikasi dan Informatika (Kominfo) sedang menyelidiki dugaan kebocoran data 279 juta peserta BPJS Kesehatan itu. Hingga Pukul 20.00 WIB kemarin (20/5), kementerian belum dapat menyimpulkan bahwa telah terjadi kebocoran data pribadi dalam jumlah masif.

“Kesimpulan ini diambil setelah dilakukan beberapa tahap pemeriksaan secara hati-hati terhadap data yang beredar,” kata juru bicara kementerian Kominfo Dedy Permadi dalam pernyataan tertulis kepada Katadata.co.id, Kamis (20/5).

Penelusuran dilakukan oleh Direktorat Pengendalian Aplikasi Informatika Kementerian Kominfo.

Kepala Humas BPJS Kesehatan M. Iqbal Anas Ma'ruf juga mengatakan setelah mendapat kabar kebocoran data itu pihaknya langsung melakukan penelusuran lebih lanjut. Penelusuran ini untuk memastikan apakah data tersebut berasal dari BPJS Kesehatan atau bukan.

"Kami juga sudah mengerahkan tim khusus untuk sesegera mungkin melacak dan menemukan sumbernya," kata Iqbal kepada Katadata.co.id, Kamis (20/5).