RADARBEKASI.ID, BEKASI — Keamanan data kependudukan dalam masa darurat. Setelah muncul penjualan data kependudukan untuk 270 juta orang Indonesia, Bareskrim bekerja cepat untuk mengungkap pelakunya.
Hacker bernama akun Kotz telah diketahui identitasnya yang diduga merupakan remaja usia 19 tahun. Sumber Jawa Pos (Grup Radar Bekasi) menyebutkan bahwa setelah berkoordinasi dengan sejumlah pihak dari Rusia dan Singapura, maka hacker dengan akun Kotz telah diketahui identitasnya. Diduga kuat merupakan seorang remaja yang berusia 19 tahun.
”Ya, masih remaja,” terangnya penyidik yang mengetahui kasus tersebut.
Koordinasi dengan Rusia dan Singapura dikarenakan, awalnya akun anonymous itu menggunakan IP Address di Negara tersebut. Koordinasi diperlukan untuk sharing data, misalnya untuk koordinasi ke Rusia, pelaku ini menggunakan Telegram yang merupakan aplikasi negara tersebut.
”Cyber crime itu kejahatan internasional, borderless (tanpa batas.red),”
Namun, begitu ditelusuri dengan lebih lanjutnya diketahuilah bahwa hacker ini tinggal di Indonesia. Bahkan, penyidik juga telah mendapatkan foto yang diduga merupakan Kotz.
”Wajah telah diidentifikasi dan tinggal di luar Pulau Jawa,” paparnya.
Ada beberapa dugaan terkait hacker Kotz, yakni Kotz merupakan hacker sekaligus penjual data kependudukan Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan yang dijebol. Dugaan lainnya, Kotz dan hacker yang menjebol data kependudukan itu orang yang berbeda alias bekerjasama.
”Namun, dugaan kuatnya penjebol data dan penjualnya sama,” ujarnya.
Dia menuturkan, hacker Kotz ini melakukan berbagai cara untuk menghilangkan jejak. Tidak hanya dari lokasi IP Address yang berganti-ganti, namun juga hacker ini telah memblokir akunnya. Walau begitu, penyidik tetap mampu untuk mengungkap identitasnya.
”Semua itu karena penyidik Bareskrim yang handal,” jelasnya.
Fakta lainnya, penyidik menduga bahwa hacker yang menjebol data BPJS tersebut harus berkoordinasi dengan tim IT dari BPJS. ”Melalui analisis log file,” terangnya kemarin malam (23/5).
Dalam upaya mengejar hacker Kotz ini, terungkap fakta lainnya yang mengejutkan. Petugas menemukan penjualan data Covid-19. Semua data terkait Covid- 19 itu diperjualbelikan dalam situs raidforums.com. Jawa Pos sempat mendownload sample data yang disediakan oleh Kotz pada Jumat (21/5) lalu, sebelum diblokir pemerintah. Tepatnya melalui link https://anonfiles.com/B5P2G8v5u5/Indonesia_zip.
Dokumennya berukuran 50,76 MB dan bisa dibuka menggunakan Ms Excel. File sebelumnya diekstraksi, untuk membukanya cukup mengetikkan password raidforums. Di dalam dokumen tersebut, data yang tersedia cukup komplit. Mulai dari nomor BPJS Kesehatan, nama lengkap, tempat tanggal lahir, nomor induk kependudukan (NIK), serta alamat email. Saat dicek di beberapa aplikasi pengecekan NIK yang banyak tersedia di PlayStore, data yang ada di dokumen tersebut akurat.
Contohnya data atas nama Adelia Febriani warga Kecamatan Bogor Utara, Kota Bogor, Jawa Barat. Dia lahir pada 2 Februari 2009 dengan NIK 3271054202090***. Informasi lainnya dia memiliki nomor ponsel 081288237***. Dari pengecekan ini bisa disebut bahwa data yang ditawarkan melalui website tersebut akurat. Website raidforum sudah tidak bisa diakses pada Minggu malam kemarin.
Data Covid-19 yang diperjualbelikan itu melingkupi semua data, dari nama, nomor handphone, dan sebagainya. Yang mengerikan, data nama pasien Covid-19 dan siapapun yang pernah mengidap Covid-19 juga diperjualbelikan.
”Untuk data vaksin, saat itu belum ada (saat data dicuri.red),” ujarnya.
Tak hanya itu, data Komisi Pemilihan Umum (KPU), Data Aparatur Sipil Negara (ASN), hingga data Tokopedia juga dijual di situs raidforums.com. Pencurian data KPU dan Tokopedia memang sempat mencuat beberapa tahun lalu, namun hingga saat ini belum tuntas juga. ”Semua harus ditangkap,” jelasnya.
Yang cukup menarik, untuk data ASN diketahui bahwa data tersebut meliputi nama hingga gaji dari ASN. Dia mengatakan, kemungkinan hacker untuk semua pencurian data tersebut berbeda-beda.
”Hackernya tidak hanya Kotz, beda-beda hacker,” ujarnya.
Dikonfirmasi terkait temuan tersebut, Kadivhumas Polri Irjen Argo Yuwono mengatakan akan menanyakan ke Bareskrim. ”Besok Senin saya tanyakan dulu,” terangnya saat dihubungi Jawa Pos kemarin malam.
Hingga Sabtu (22/5) kemarin, proses penyelidikan Kementerian Komunikasi dan Informatika baru menemukan beberapa fakta baru seperti Raid Forums yang teridentifikasi sebagai forum yang banyak menyebarkan konten yang melanggar perundang-undangan di Indonesia. ”Sehingga website tersebut, termasuk akun bernama Kotz sedang dilakukan proses pemblokiran,” kata Jubir Kominfo Dedy Permadi.
Kemudian, semua tautan yang disediakan Kotz untuk melampirkan sample data di di bayfiles.com, mega.nz, dan anonfiles.com telah berhasil diblokir. Kominfo juga mengkonfirmasi bahwa jumlah data yang bocor lebih besar dari pernyataan mereka sebelumnya yakni 100 ribuan data saja.
Saat ini kata Dedy pihaknya melakukan investigasi terhadap sekitar 1 juta data yang diklaim sebagai data sampel oleh penjual. Dedy mengatakan, sesuai dengan amanat PP 71 tahun 2019, Kominfo telah melakukan pemanggilan terhadap Direksi BPJS Kesehatan pada hari Jumat, 21 Mei 2021.
Dalam pertemuan tersebut, BPJS berjanji segera akan memastikan dan menguji ulang data pribadi yang diduga bocor. Investigasi yang dilakukan oleh tim internal BPJS akan selalu dikoordinasikan dengan Kementerian Kominfo dan BSSN.
Direktur Utama (Dirut) BPJS Kesehatan Ali Ghufron Mukti belum banyak komentar saat dimintai konfirmasi terkait kasus kebocoran data di lembaganya. Dia membenarkan bahwa sudah melakukan klarifikasi ke Bareskrim Mabes Polri. ’’Ya sudah (klarifikasi, Red) dan diterima dengan baik,’’ katanya kemarin (23/5).
Guru Besar Universitas Gadjah Mada (UGM) Yogyakarta itu mengatakan akan memberikan keterangan langsung ke masyarakat dalam waktu dekat. Dia menjelaskan dalam waktu satu atau dua hari kedepan, jajaran BPJS Kesehatan akan menyampaikan keterangan pers kepada publik.
Dia menjelaskan BPJS Kesehatan juga sudah membentuk tim khusus untuk menangani dugaan kebocoran data tersebut. Dia meminta masyarakat untuk bersabar. Sambil menunggu hasil kerja dari tim-tim terkait. Baik itu tim di internal BPJS Kesehatan maupun tim eksternal. Seperti dari Kementerian Kominfo dan kepolisian.
Menurut Chairman Lembaga Riset Siber Indonesia Communication and Information System Security Research Center (CISSRec) Pratama Persadha, saat ini raidforums masih bisa diakses dengan virtual private network (VPN). Namun, ia sendiri yakin bahwa dari sampel 1 juta data yang disediakan Kotz, tidak ada jenis data lain selain data BPJS.
Dia sendiri tidak yakin bahwa data yang dijual Kotz merupakan gabungan dari berbagai instansi. Karena source datanya hanya berisi data BPJS Kesehatan. Jumlah 279 juta data dicapai karena di dalamnya ada peserta-peserta yang sudah meninggal dan belum dihapus. ”Di sample data ada puluhan ribu orang yang lahirnya tahun 1918 atau 1920, nanti kita tunggu saja keterangan dari kepolisian,” katanya.
Yang jelas ia menyebut bahwa data KPU dan ASN serta Tokopedia pernah juga bocor dan dijual bebas. Namun itu sudah lama. Yang jelas, kata Pratama, semakin banyak data, semakin mudah seorang pelaku kejahatan membuat profiling. Apalagi kalau sumber datanya beragam.
”Orang jahat akan lebih mudah melakukan kejahatan kalau tau data dasar korbannya,” jelasnya.
Sementara itu, terkait adanya dugaan bahwa data KPU juga ada di antara data bocor tersebut, pihak KPU menampik hal tersebut. Komisioner KPU Viryan Aziz menyatakan bahwa timnya telah mengecek data tersebut sebelum dibatasi aksesnya oleh pemerintah.
Dari hasil pengecekan tim IT KPU tersebut, Viryan menegaskan bahwa tidak ada data-data yang termasuk dalam kebocoran itu yang bersumber dari data pribadi pemilih.
“Tim teknis sejak awal sudah cek, tidak ada field yang terkait data pemilih,” jelasnya singkat kepada Jawa Pos. Viryan pun enggan berkomentar lebih jauh mengenai dugaan tersebut.
Terpisah, Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (PANRB) Tjahjo Kumolo menyesalkan kebocoran data yang diduga berasal dari Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan.
Ia mendukung Kominfo untuk mengusut tuntas kebocoran data tersebut. Sebab, kemungkinan didalamnya terdapat juga data aparatur sipil negara (ASN). Mengingat, ASN serta prajurit TNI-Polri juga menjadi peserta BPJS Kesehatan.
”Kami dukung untuk diusut tuntas,” tegasnya.
Menurut Tjahjo, BPJS Kesehatan membentuk tim khusus bersama Badan Siber dan Sandi Negara (BSSN), Kominfo, serta Telkom untuk melakukan penelusuran. Kominfo juga telah memanggil Direksi BPJS Kesehatan untuk segera memastikan dan menguji ulang data pribadi yang bocor.
Di sisi lain, Tjahjo mendorong DPR untuk segera mengesahkan RUU Perlindungan Data Pribadi demi terjaminnya data masyarakat, khususnya ASN yang dalam hal ini dirugikan atas kebocoran data tersebut. Sebagai informasi, saat ini, dasar hukum perlindungan data pribadi WNI masih dalam rancangan undang-undang (RUU).
Dia menilai, RUU ini penting karena selama ini secara nyata terlihat bahwa penegak hukum masih kesulitan untuk menerapkan sanksi tegas. Terutama, yang sifatnya pidana kepada oknum yang membocorkan data konsumen.
”Sehingga penting agar RUU Perlindungan Data Pribadi disahkan dengan segera,” ungkap Politisi PDIP tersebut.
Saat ini sendiri, perlindungan data pribadi masih mengacu pada Peraturan Menteri Komunikasi dan Informatika No. 20/2016. Pada pasal 36 disebutkan bahwa pihak yang menyebarluaskan data pribadi dikenai sanksi berupa peringatan lisan, tertulis, penghentian kegiatan, atau pengumuman di situs online. Aturan ini merupakan turunan dari pasal 26 ayat (1) UU 19/2016 tentang Informasi dan Transaksi Elektronik, di mana dinyatakan bahwa penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.
Cecep Suryadi, komisioner Komisi Informasi Pusat (KIP) mengapresiasi respon cepat yang dilakukan pemerintah dengan memanggil BPJS Kesehatan untuk dilakukan investigasi terkait dugaan kebocoran dan penjualan data pribadi warga negara.
Menurut dia, data pribadi merupakan data yang wajib dilindungi kerahasiaannya. Oleh karena itu, semua pihak, baik badan publik maupun pihak swasta yang memiliki dan menyimpan data pribadi seseorang wajib melindungi kerahasiannya. Hal tersebut dijamin dalam Undang-undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik, serta diatur dalam Undang-undang Nomor 24 Tahun 2013 tentang Perubahan atas Undang-undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan.
Cecep mengatakan, saat ini sudah terjadi darurat perlindungan data pribadi. Sebab jaminan hukum atas perlindungan data pribadi masih sangat lemah. Selain itu, pembahasan Rancangan Undang-Undang (RUU) tentang Perlindungan Data Pribadi masih belum selesai.
Dengan banyaknya kasus kebocoran data pribadi warga negara, dia berharap DPR dan pemerintah segera menyelesaikan pembahasan RUU Perlindungan Data Pribadi, demi menjaga kerahasiaan data masyarakat Indonesia. “Di tengah darurat perlindungan data pribadi, maka RUU Perlindungan Data harus segera disahkan,” tegasnya.
Cecep mengatakan, perlindungan data pribadi warga negara Indonesia merupakan hal dasar yang harus diperhatikan. Percepatan pengesahaan RUU Perlindungan Data Pribadi dapat menjadi solusi untuk menata pengelolaan data pribadi. “Agar masyarakat dapat memperoleh jaminan hukum yang jelas,” tandasnya.
Fraksi PKS DPR menyarankan agar kasus ini dibicarakan lintas sektor demi menemukan solusi agar data penduduk tidak bocor lagi di masa mendatang. Wakil Ketua Fraksi PKS Mulyanto mengatakan bahwa persoalan ini sebaiknya dibahas di berbagai komisi DPR karena menyangkut beberapa elemen. Seperti jaminan keamanan data pribadi yang menjadi ranah Komisi I, hukum yang menjadi kewenangan Komisi III, serta upaya pencegahan pengambilan di Komisi VII.
“Ini berpotensi disalahgunakan ke mana-mana seperti penipuan, tindak kriminal kekerasan, KTP palsu, penipuan pinjol,” jelasnya kemarin.
Selain melibatkan lintas komisi di DPR, dia juga menyarankan agar pembahasan kasus ini melibatkan juga Badan Pengkajian dan Penerapan Teknologi (BPPT) sebagai otoritas riset dan teknologi. Diharapkan badan tersebut bisa mengembangkan sistem guna mencegah kebocoran data digital di masa depan.
“Lembaga litbang ini sangat penting untuk mengembangkan teknologi yang handal agar dapat melindungi kerahasiaan data publik,” jelas anggota Komisi VII DPR tersebut.(oke/idr/tau/wan/mia/deb/lum)
