Yang lebih berbahaya lagi, jika data pribadi tersebut untuk membuat identitas palsu, kemudian melakukan tindakan terorisme.Semarang (ANTARA) - Dunia keamanan siber di Indonesia acap kali geger akhir-akhir ini dengan sering terjadinya serangan siber serta pencurian data pribadi, baik di lembaga pemerintahan maupun korporasi.
Serangan ransomware atau perangkat pemeras yang menyerang Garuda Indonesia dan Bank Syariah Indonesia serta pencurian data pribadi oleh hacker (peretas) Bjorka pada data paspor Dirjen Imigrasi, data pelanggan Myindihome Telkom Indonesia, serta berbagai data pribadi lainnya.
Pakar keamanan siber Dr. Pratama Persadha melalui pesan WhatsApp, Senin (17/7), mengingatkan kepada semua pihak akan maraknya pencurian data yang terjadi di Tanah Air.
Serangan siber yang paling akhir terjadi saat ini adalah pencurian data pribadi yang diklaim berasal dari Direktorat Kependudukan dan Catatan Sipil Kementerian Dalam Negeri.
Informasi kebocoran data tersebut diunggah pada sebuah forum yang biasa dipergunakan untuk jual beli kebocoran data yang seorang peretas. Seseorang dengan nama samaran RRR berhasil mendapatkan data tersebut pada tanggal 14 Juli 2023.
Disebutkan pula oleh Chairman Lembaga Riset Keamanan Siber CISSReC tersebut bahwa data pribadi yang diklaim didapatkan oleh akun RRR tersebut berjumlah 337 juta data terkait dengan penduduk Indonesia yang berhasil didapatkannya dari server dukcapil.kemendagri.go.id.
RRR mengklaim berhasil mendapatkan total 7 tabel. Data yang ditawarkan untuk dijual saat ini adalah salah satu dari tabel tersebut. Dari tangkapan layar yang dibagikan, data yang ditawarkan tersebut berasal dari tabel "data_penduduks".
Doktor yang mengambil S-3 di UGM & UI ini juga mengungkapkan bahwa ada beberapa field yang sangat berbahaya bagi masyarakat terdampak kebocoran data ini karena terdapat field "NAMA_LGKP_IBU".
Data nama lengkap ibu kandung ini biasanya dipergunakan sebagai lapisan keamanan tambahan di sektor perbankan. Nama lengkap ibu kandung ini akan diminta pada saat pembukaan rekening bank serta kartu kredit.
Jika melakukan aktivitas perbankan melalui customer service, baik melalui telepon atau offline di cabang bank, akan ditanyakan nama ibu kandung pada saat melakukan verifikasi data perbankan selain data diri dari nasabah.
Hal tersebut karena nama ibu kandung adalah sebuah data yang tidak diketahui oleh orang banyak dan jarang diketahui oleh orang lain.
Dapat dibayangkan betapa berbahayanya data nama ibu kandung tersebut jika sampai data ini jatuh ke tangan orang yang akan melakukan tindakan kriminal dan penipuan, terutama jika data tersebut digabungkan dengan kebocoran data lainnya sehingga bisa mendapatkan profil data yang cukup lengkap dari calon korban penipuan.
Data itu mencakup nama, nomor induk kependudukan (NIK), nomor kartu keluarga (KK), alamat, nomor telepon seluler (ponsel), alamat email, nomor rekening, nama ibu kandung, dll. sehingga pelaku kejahatan bisa leluasa melakukan penipuan dengan metode social engineering (rekayasa sosial) menggunakan data tersebut.
Kebocoran data ini tentu saja sangat berbahaya bagi masyarakat yang datanya termasuk dalam data yang didapatkan oleh peretas tersebut. Pasalnya, data pribadi yang ada tersebut dapat dimanfaatkan oleh orang lain untuk melakukan tindak kejahatan seperti penipuan, baik penipuan secara langsung kepada orang yang datanya bocor tersebut maupun penipuan lain dengan mengatasnamakan atau menggunakan data pribadi orang lain yang bocor tersebut.
Yang lebih berbahaya lagi, menurut Pratama, jika data pribadi tersebut untuk membuat identitas palsu, kemudian melakukan tindakan terorisme. Hal ini berpotensi yang bersangkutan dan keluarganya akan mendapat tuduhan sebagai teroris atau kelompok pendukungnya.
Oleh karena itu, Pemerintah perlu mengambil sikap dan tindakan segera terkait dengan pernyataan mantan Direktur Pengamanan Sinyal BSSN ini. Hal ini mengingat kebocoran data yang terjadi juga berpotensi merugikan pemerintah, apalagi ada klaim bahwa sumber kebocoran berasal dari salah satu lembaga pemerintahan.
Tidak menutup kemungkinan pihak lain akan menyimpulkan bahwa faktor keamanan siber sektor pemerintahan adalah cukup rendah. Hal ini tentu saja akan mencoreng nama baik Pemerintah, baik di mata masyarakat Indonesia maupun di mata internasional.
Bahkan, mereka bisa menilai pemerintah tidak sanggup melakukan pengamanan siber untuk institusinya, padahal banyak pihak yang memiliki kompetensi tinggi seperti Badan Siber dan Sandi Negara (BSSN), Badan Intelijen Negara (BIN), serta Kominfo.
Meskipun belum ada keterangan resmi dari Dirjen Disdukcapil, ada beberapa field yang mengarah bahwa data yang bocor tersebut kemungkinan memang berasal dari, antara lain, ada beberapa field, yaitu EKTP_CREATED_DATE, EKTP_CREATED_BY, EKTP_UPDATED_DATE, EKTP_UPDATED_BY, EKTP_UPLOAD_LOCATION, EKTP_BATCH serta EKTP_CURRENT_STATUS_CODE. Data tersebut terkait dengan penerbitan kartu tanda penduduk elektronik (KTP-el).
Hanya saja pada data sample yang diberikan oleh akun anonim RRR data tersebut masih kosong semua. Selain data yang terkait dengan KTP-el, ada beberapa field seperti IP_PET_REG, NAMA_PET_ENTRI, NIP_PET_ENTRI, TGL_ENTRI yang bisa dimanfaatkan untuk verifikasi apakah betul data bersumber dari disdukcapil.
Dari hasil investigasi singkat CISSReC menyebutkan beberapa nama yang tercantum dalam field "NAMA_PET_ENTRI" adalah karyawan dari disdukcapil.
Peretas dengan nama anonim RRR tersebut tidak hanya memberikan informasi kebocoran data dari disdukcapil. Di forum tersebut, akun RRR juga memberikan serta menawarkan beberapa data Indonesia lainnya seperti 1,3 triliun data registrasi simcard, 36 juta data kendaraan bermotor, serta 272 juta data BPJS dan dua juta data foto dari BPJS.
Data lainnya, sebanyak 34 juta data paspor, 6,9 juta data visa, 186 juta data KPU, satu triliun data Kemendesa, 337 juta data disdukcapil, serta yang paling baru adalah 6,8 juta data DPT Provinsi DKI Jakarta.
Selain data dari negara Indonesia, akun RRR juga menawarkan beberapa data yang juga didapatkan dari negara lainnya seperti 15 juta data korporasi Jepang, 108 juta data Iran Telecom, serta tiga juta data kendaraan dan 2,8 juta data penduduk Lebanon.
Negara lainnya, sebanyak 28,6 juta data pekerja Taiwan, 23,5 juta data kependudukan Taiwan, 30 juta data pribadi penduduk Thailand, 789 juta data pemilih India, 10 juta data dari operator telekomunikasi Jordania, 23 juta data facebook Jepang, serta 51 juta data Facebook Vietnam.
Melihat seringnya terjadi kebocoran data pribadi, Pemerintah harus lebih serius dalam menerapkan hukum dan regulasi terkait dengan pelindungan data pribadi.
Dalam kasus kebocoran data, pihak-pihak yang harus bertanggung jawab adalah perusahaan sebagai pengendali atau pemroses data, serta pelaku kejahatan siber yang menyebarkan data pribadi ke ruang publik.
Untuk pihak-pihak yang berdomisili di Indonesia, bisa menggunakan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) Pasal 57 sebagai dasar tuntutan.
Disebutkan bahwa ketentuan mengenai kewajiban pengendali data pribadi sebagaimana dimaksud dalam Pasal 29, Pasal 31, Pasal 35, Pasal 36, Pasal 37, Pasal 38, dan Pasal 39 UU PDP berlaku juga terhadap prosesor data pribadi.
Editor: Achmad Zaenal M
Copyright © ANTARA 2023
