TPN Ganjar-Mahfud Soroti Pembobolan Data Pemilih: Usut Tuntas Pelakunya

Liputan6.com, Jakarta - Wakil Ketua TPN Ganjar-Mahfud, Gatot Eddy Pramono, meminta Komisi Pemilihan Umum (KPU) bergerak cepat dalam mengusut tuntas kasus dugaan pembobolan data Pemilih 2024. Koordinasi antar-instansi pun harus segera dilakukan.

"Tentunya peristiwa ini merupakan pembelajaran buat kita semua, yang mana kerja sama dan koordinasi antara instansi terkait kementerian lembaga agar peristiwa ini tidak terjadi lagi ke depannya," tutur Gatot di Bandara Soetta, Tangerang, Banten, Rabu (29/11/2023).

"Kemudian tentunya peristiwa ini harus diusut tuntas siapa pelakunya," ujarnya.

KPU harus segera menggandeng Badan Siber dan Sandi Negara (BSSN), Kementerian Komunikasi dan Informasi (Kominfo), serta Polri untuk memastikan hasil Pilpres 2024 aman tanpa ada intervensi pihak manapun.

"Mengusut tuntas dan mengetahui siapa-siapa pelakunya dan membawa persoalan ini ke ranah hukum, dan melakukan penyelidikan dalam menemukan siapa pelakunya tentu dilakukan sesuai aturan perundang-undangan," ungkapnya.

Kasus kebocoran data pribadi kembali terjadi di Indonesia, di mana kali ini pelaku peretasan mengklaim sudah mencuri dan mendapatkan akses admin ke situs KPU (Komisi Pemilihan Umum).

Adapun informasi kebocoran data pribadi ini pertama kali diungkap oleh konsultan keamanan siber Teguh Aprianto pada Selasa, 28 November 2023.

Lewat platform media sosial X @secgron, dirinya membagikan tangkapan layar unggahan hacker bernama Jimbo dengan caption "KPU.GO.ID 2024 Voters RAW DATABASE".

Mengutip posting-an @secgron, Rabu (29/11/2023), hacker tersebut mengklaim telah mendapatkan sekitar 252 juta data dalam posting-annya di situs jual beli data curian, yakni Breachforums.

Akan tetapi, terdapat beberapa data terduplikasi dan akhirnya setelah melalui proses penyaringan hanya tersisa 204.807.203 data pribadi unik.

Dari data tersebut, Jimbo menjelaskan mendapatkan informasi lengkap mulai dari NIK, NKK, no_ktp (Passport) , Nama, tps_id, Difabel, ektp, jenis_kelamin, tanggal_lahir, tempat_lahir, kawin, alamat, rt, rw, dan banyak lagi.

Untuk seluruh data pribadi bocor tersebut, pelaku peretasan memasang harga untuk 204 juta data penduduk Indonesia bocor tersebut sekitar USD 74000 atau sekitar Rp 1,2 miliar.

Berita terkait Visi Misi Ganjar Mahfud.

Informasi kebocoran data penduduk Indonesia ini juga dikonfirmasi oleh pakar keamanan siber Pratama Persadha. Dalam keterangannya, dia mengungkap angka data yang bocor hampir sama dengan jumlah pemilih dalam DPT Tetap KPU.

"Data pribadi penduduk bocor ini hampir sama dengan jumlah pemilih dalam DPT Tetap KPU dari 514 kab/kota di Indonesia serta 128 negara perwakilan," kata Pratama.

Tak hanya itu, Pratama menduga hacker telah mendapatkan akses login dengan role admin KPU dari domain sidalih.kpu.go.id.

"Kemungkinan pelaku bisa mendapatkan akses login domain sidalih.kpu.go.id dengan cara metode phising, social engineering, atau melalui malware," jelasnya.

Ia menilai, jika peretas Jimbo benar-benar berhasil mendapatkan kredensial dengan role Admin tentunya sangat berbahaya pada pesta demokrasi Pemilu 2024 mendatang.

"Bisa saja akun dengan role admin tersebut dapat dipergunakan untuk mengubah hasil rekapitulasi penghitungan suara yang tentunya akan mencederai pesta demokrasi, atau bisa menimbulkan kericuhan pada skala nasional ketika Pemilu nanti," pungkasnya.

Komisi Pemilihan Umum (KPU) kembali menjadi sasaran hacker. Pelaku kejahatan siber dengan nama anonim "Jimbo" mengklaim telah meretas situs kpu.go.id dan mendapatkan data daftar pemilih tetap (DPT) dari situs tersebut.

Sebelumnya pada tahun 2022, peretas Bjorka juga mengklaim mendapatkan 105 juta data pemilih dari website KPU.

 Kali ini Jimbo membagikan 500 ribu data sampel yang berhasil dia dapatkan pada salah satu posting-annya di situs BreachForums yang biasa dipergunakan untuk menjual hasil peretasan, serta beberapa tangkapan layar dari website https://cekdptonline.kpu.go.id/ untuk memverifikasi kebenaran data yang didapatkan tersebut.

Jimbo juga menyampaikan dalam posting-an di forum tersebut bahwa data 252 juta yang berhasil dia dapatkan terdapat beberapa data yang terduplikasi.

Menurut Pakar Keamanan Siber Pratama Persadha, setelah Jimbo melakukan penyaringan, terdapat 204.807.203 data unik di mana jumlah ini hampir sama dengan jumlah pemilih dalam DPT Tetap KPU yang berjumlah 204.807.222 pemilih dari 514 kab/kota di Indonesia serta 128 negara perwakilan.

"Di dalam data yang didapatkan oleh Jimbo tersebut memiliki beberapa data pribadi yang cukup penting," ujar Chairman Lembaga Riset Keamanan Siber CISSReC tersebut, dikutip Rabu (29/22/2023).

Antara lain NIK, No. KK, nomor ktp (berisi nomor paspor untuk pemilih yang berada di luar negeri), nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, kodefikasi kelurahan, kecamatan dan kabupaten serta kodefikasi TPS.

Tim CISSReC telah melakukan verifikasi data sampel yang diberikan secara random melalui website cekdpt, dan data yang dikeluarkan oleh website cekdpt sama dengan data sampel yang dibagikan oleh peretas Jimbo, termasuk nomor TPS di mana pemilih terdaftar.

Jimbo menawarkan data yang berhasil dia dapatkan seharga US$74.000 atau setara Rp 1,2 miliar.

Pada tangkapan layar lainnya yang dibagikan Jimbo, tampak sebuah halaman website KPU yang kemungkinan berasal dari halaman dashboard pengguna. Di mana dengan adanya tangkapan layar tersebut, maka kemungkinan besar Jimbo berhasil mendapatkan akses login dengan role Admin KPU dari domain sidalih.kpu.go.id menggunakan metode phishing.

"Bisa juga melalui social engineering atau malware, di mana dengan memiliki akses dari salah satu pengguna tersebut, Jimbo mengunduh data pemilih serta beberapa data lainnya. CISSREC juga sebelumnya sudah memberikan alert kepada Ketua KPU tentang vulnerability di sistem KPU pada 7 Juni 2023," kata Pratama.

Ia menilai, jika peretas Jimbo benar-benar berhasil mendapatkan kredensial dengan role Admin, hal ini tentu saja bisa sangat berbahaya pada pesta demokrasi pemilu yang akan segera dilangsungkan karena bisa saja akun dengan role Admin tersebut dapat dipergunakan untuk mengubah hasil rekapitulasi penghitungan suara yang tentunya akan mencederai pesta demokrasi, bahkan bisa menimbulkan kericuhan pada skala nasional.