Kembali Terulang, Jutaan Data Kependudukan Diperjualbelikan
Kementerian Dalam Negeri membenarkan adanya dugaan peretasan terhadap peladen dinas dukcapil di empat daerah. Namun, belum bisa dipastikan apakah data yang diperjualbelikan di Raid Forums hasil dari peretasan itu.
Oleh
Norbertus Arya Dwiangga Martiar
·3 menit baca
JAKARTA, KOMPAS — Data kependudukan dari empat daerah diduga diretas dan diperjualbelikan di situs forum peretas, Raid Forums. Data kependudukan yang ditawarkan merupakan data Kabupaten Malang, Kota Bogor, Kabupaten Subang, dan Kabupaten Bekasi.
Dari penelusuran Kompas, Senin (7/6/2021) malam, akun yang menawarkan data tersebut bernama GadiZ. Dari sampel data yang diunggah, data yang ditawarkan tersebut mencakup, antara lain, nama lengkap, nomor induk kependudukan (NIK), nomor kartu keluarga (KK), tempat dan tanggal lahir, jenis kelamin, dan alamat tempat tinggal.
Untuk data Kabupaten Malang berasal dari situs Malangkab.go.id dengan jumlah list sebanyak 3.165.815. Sementara data kependudukan Kota Bogor dengan jumlah list 1.303.531, Kabupaten Subang dengan jumlah list 1.989.263, dan Kabupaten Bekasi sebanyak 2.339.060. Data tersebut mulai ditawarkan pada akhir Mei lalu.
Direktur Jenderal Kependudukan dan Catatan Sipil (Dukcapil) Kementerian Dalam Negeri Zudan Arif Fakrulloh membenarkan adanya dugaan peretasan terhadap peladen atau server dinas dukcapil di keempat daerah tersebut. Namun, apakah data yang diperjualbelikan di Raid Forums sama dengan data yang diretas dari peladen dinas dukcapil, ia belum bisa memastikannya.
Yang bisa dipastikannya, problem peretasan itu sudah teratasi sejak pekan lalu. ”Sudah kami mitigasi risiko, yaitu dengan mematikan jaringan yang menggunakan internet publik untuk layanan online, agar diperkuat dengan firewall dan pengamanan lainnya,” ujarnya.
Lebih lanjut, layanan kependudukan dan pencatatan sipil di keempat wilayah itu saat ini tengah dievaluasi.
Selain itu, Zudan telah meminta agar dinas dukcapil di seluruh kabupaten/kota, berjumlah 548 dinas, sungguh-sungguh menjaga peladen masing-masing dari ancaman peretas dan memperkuat pengamanan data. ”Saya sudah berkomunikasi dengan 548 daerah pekan lalu dan menegaskan bahwa mereka, para kepala dinas, bertanggung jawab penuh terhadap data yang ada di peladen masing-masing,” ujarnya.
Untuk diketahui, kebocoran data kependudukan ini bukan pertama kalinya. Akhir Mei lalu, misalnya, data pribadi yang dikelola oleh BPJS Kesehatan diduga bocor dan dijual di Raids Forum. Sebelumnya, kebocoran data pribadi juga terjadi pada data yang dikelola Tokopedia, Bhinneka.com, Kreditplus, RedDoorz, dan Komisi Pemilihan Umum.
Secara terpisah, praktisi digital forensik Ruby Alamsyah berpandangan, tren peretasan dan kebocoran data pribadi terus meningkat dalam tiga tahun terakhir, baik dari sisi kuantitas maupun kualitas. Jika semua data yang bocor selama ini digabungkan, data pribadi sebagian besar penduduk Indonesia hampir lengkap.
”Pemerintah terkesan membiarkan dan tidak belajar dari rentetan kejadian kebocoran data selama ini. Apalagi ini yang bocor adalah data kependudukan yang penting,” katanya.
Ruby menuturkan, dari analisis terhadap data BPJS yang bocor beberapa waktu lalu, dia menemukan bahwa data tersebut tidak hanya data peserta BPJS Kesehatan, tetapi juga nonpeserta BPJS. Sementara data BPJS Kesehatan tersebut berasal dari data kependudukan dan catatan sipil.
Data kependudukan dari empat daerah tersebut, lanjut Ruby, sudah tidak bisa diselamatkan lagi. Sebab, melihat data sampel yang diunggah penjual, data tersebut bersifat tetap. Biasanya, setelah beberapa waktu, data semacam itu akan tetap ada di internet dan bisa diakses siapa pun.
Dari peristiwa tersebut, Ruby mempertanyakan kewenangan dan kemampuan pemda dalam menyimpan ataupun mengelola data. Semestinya data dukcapil dipusatkan dalam sebuah peladen yang dikelola secara terpusat, sementara pemda hanya diberi kewenangan untuk mengaksesnya.
Selain itu, peristiwa tersebut semakin menunjukkan urgensi Undang-Undang Perlindungan Data Pribadi (UU PDP). Kebuntuan yang terjadi antara pemerintah dan DPR terkait lembaga pengawas mestinya dapat dicari jalan keluarnya karena yang utama dari UU PDP adalah pengamanan data.
”Urgensi UU PDP sangat tinggi dengan melihat berbagai peristiwa dalam tiga tahun terakhir,” ujar Ruby.