JAKARTA, KOMPAS — Peretas yang menggunakan akun Bjorka diduga masih leluasa meretas data masyarakat di sejumlah aplikasi yang dikelola badan publik. Hal ini dinilai menunjukkan belum siapnya badan publik dalam memenuhi kewajiban yang diatur dalam Undang-Undang Perlindungan Data Pribadi.
Sepekan terakhir, kabar kebocoran data pribadi warga kembali mengemuka. Sebanyak 44,2 juta data warga yang diduga dikelola melalui aplikasi MyPertamina dipasarkan akun Bjorka di situs Breached Forum, seharga 25.000 dollar AS atau setara Rp 392 juta. Terbaru, ia memasarkan 3,25 miliar data yang diklaim berasal dari aplikasi Peduli Lindungi, senilai 100.000 dollar AS atau setara Rp 1,5 miliar.
Dalam unggahan ”Indonesia Covid-19 App Peduli Lindungi 3,2 Billion” di Breached Forum, Selasa (15/11/2022), akun Bjorka menyatakan data itu mencakup nama, alamat surel, nomor induk kependudukan, nomor telepon, tanggal lahir, identitas perangkat, status Covid-19, riwayat cek, riwayat penelusuran kontak, hingga vaksinasi.
Kepala Badan Siber dan Sandi Negara (BSSN) Hinsa Siburian saat dikonfirmasi tentang penjualan data oleh Bjorka melalui pesan singkat, Rabu (16/11/2022), meminta Kompas menghubungi juru bicara BSSN. Namun, Juru Bicara BSSN Ariandi Putra tak merespons pertanyaan yang dikirimkan. Kepala Biro Penerangan Masyarakat Divisi Humas Polri Brigadir Jenderal (Pol) Ahmad Ramadhan juga tidak direspons saat ditanya soal dugaan peretasan oleh akun Bjorka.
Sebelumnya, Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika Semuel Abrijani Pangerapan juga tidak menjawab pertanyaan soal dugaan peretasan ini. Semuel mengarahkan pertanyaan ditujukan kepada Kementerian Kesehatan selaku pengendali aplikasi Peduli Lindungi.
Adapun Setiaji, Chief Digital Transformation Office (DTO) Kementerian Kesehatan, sekaligus staf ahli Menteri Kesehatan bidang Teknologi Kesehatan, Rabu, belum merespons saat dikonfirmasi soal dugaan peretasan ini.
Anggota Komisi I DPR, Dave Laksono, mengingatkan, harus ada proses yang bisa mengidentifikasi data apa yang dibocorkan peretas dan dari mana sumbernya. Semua pihak terkait diharap tidak saling melempar tanggung jawab.
Tamparan bagi pemerintah
Ketua Lembaga Riset Keamanan Cyber (CISSReC) Pratama Persadha menyayangkan belum adanya respons resmi dari otoritas tentang klaim 3,2 miliar data dari aplikasi Peduli Lindungi yang ditawarkan Bjorka di breach forum. Padahal, menurut dia, jika benar terjadi kebocoran, maka yang menjadi korban adalah masyarakat.
”Penyebab kebocoran data ini sebenarnya sudah berusaha ditutupi oleh Undang-Undang No 27/2022 tentang Perlindungan Data Pribadi (UU PDP). Namun, masih ada kekurangan dari UU PDP, yaitu belum ada lembaga penegak UU PDP,” kata Pratama.
Menurut Pratama, jika kebocoran data dari aplikasi Peduli Lindungi sebagaimana klaim Bjorka terjadi, hal itu merupakan tamparan bagi pemerintah. Sebab, kebocoran data bisa terjadi jika ada peretasan, faktor kesalahan operator, atau adanya kerusakan atau error pada sistem.
Sementara pada September pemerintah telah membentuk Satuan Tugas Perlindungan Data yang terdiri dari Polri, Kemenkominfo, BSSN, serta Badan Intelijen Negara (BIN). Jika kebocoran data benar terjadi, berarti satgas yang dibentuk tersebut belum menjalankan fungsi dengan baik.
Saat ini, lanjut Pratama, banyak kementerian atau lembaga yang membentuk Cyber Security Incident Response Team. Oleh karena itu, tugas satgas perlindungan data adalah mendorong peningkatan standar keamanan sistem informasi yang dikelolanya. Meski demikian, menurut Pratama, agar pengawasan dan perlindungan lebih maksimal sebagaimana amanat UU PDP, yang dibutuhkan adalah lembaga atau komisi perlindungan data pribadi yang berwenang menentukan pihak yang bersalah jika terjadi kebocoran data.
”Yang perlu dievaluasi adalah apakah satgas sudah mendorong peningkatan standar keamanan di berbagai lembaga negara dan kementerian? Ini jadi pertanyaan,” kata Pratama.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat Wahyudi Djafar mengatakan, kembali terjadinya rangkaian insiden kebocoran data menunjukkan pengendali data, khususnya dari badan publik, belum siap memenuhi kewajiban yang diatur UU Perlindungan Data Pribadi (PDP). Kewajiban itu terkait memastikan keamanan pemrosesan, menjaga kerahasiaan, dan pemberitahuan jika terjadi kebocoran.
Praktisi keamanan teknologi informasi Alfons Tanujaya, Selasa, mengaku telah melihat dan mengecek sampel data yang ditawarkan. Dari situ, Alfons menilai data yang ditawarkan Bjorka merupakan data yang valid. ”Data pribadi yang bocor ini bisa digunakan untuk kejahatan siber, semisal pinjaman daring. Namun, sepertinya badan publik atau institusi pemerintah tidak pernah belajar soal ini,” ujar Alfons.
Secara terpisah, pakar digital forensik Ruby Alamsyah mengatakan, klaim data yang ditawarkan Bjorka tersebut dinilai tidak lazim. Sebab, biasanya data semacam itu dijual dengan harga tidak setinggi itu. Jika pun ditawarkan dengan harga tinggi, biasanya beberapa waktu kemudian harganya turun atau bahkan gratis. Namun, hal itu tidak tampak dari data yang ditawarkan Bjorka.
Hal lain yang patut dicermati adalah sampel data yang diberikan Bjorka tidak banyak, yakni kurang dari 50 data. Padahal, data yang diklaim ia miliki sebanyak 3,2 miliar data. Menurut Ruby, hal itu tidak lazim dalam perdagangan data. Padahal, dengan data yang dimiliki, mestinya penjual memberikan sampel sekitar 1-2 juta data sebagai pembanding agar ada pihak yang tertarik untuk membeli.
Meski demikian, dengan telah disahkannya UU PDP, upaya untuk memverifikasi benar atau tidaknya kebocoran data tersebut menjadi tugas pemerintah. Sebab, pemerintah menjadi pihak yang berwenang untuk mengumumkan benar tidaknya terjadi kebocoran data dan pihak yang bertanggung jawab terhadap hal itu.
”Dengan adanya UU PDP, masyarakat sebenarnya tinggal menunggu dan menonton apa langkah dari pemerintah, yakni mau mengambil langkah penegakan hukum atau menyatakan tidak ada kebocoran data,” kata Ruby.
Oleh karena itu, Ruby berharap pemerintah menunjukkan ketegasan terkait dugaan kebocoran data dari aplikasi Peduli Lindungi tersebut. Sebab, hal itu menunjukkan sejauh mana keseriusan dari pemerintah dalam penegakan UU PDP.
Meski begitu, Ruby menilai pemerintah saat ini juga berhati-hati dalam menyimpulkan hal itu. Sebab, mereka tidak mau mengulang kejadian beberapa waktu lalu tentang aparat kepolisian yang menangkap pihak yang disebut Bjorka, namun ternyata bukan.
"UU PDP dibuat untuk melindungi warga. Maka kita menunggu, eksekusi apa yang akan dilakukan oleh pemerintah. Ini tantangan dan ujian bagi pemerintah," kata Ruby.