Liputan6.com, Jakarta - Setelah beberapa kali membocorkan data pemerintah dan pejabat, hacker Bjorka kini terang-terangan menjual data pribadi masyarakat Indonesia di forum onlie dengan harga US$ 100 ribu (sekitar Rp 1,6 miliar) dalam bentuk BitCoin.
Pengamat teknologi sekaligus dosen Sekolah Teknik Elektronika dan Informasi (STEI) ITB, Agung Harsoyo, prihatin dengan ulah hacker Bjorka yang membocorkan, menyebarkan dan menjual data pribadi masyarakat Indonesia.
Baca Juga
Agung menyebut informasi yang disebarkan oleh hacker di dunia maya, dinilai belum tentu benar dan berpotensi hasil modifikasi.
Advertisement
"Masyarakat diimbau tidak resah terhadap dugaan kebocoran data pribadi yang disampaikan oleh peretas. Sebab, informasi yang disampikan peretas tersebut belum tentu benar," ujar Agung melalui keterangan tertulisnya, Jumat (18/11/2022).
Komisioner BRTI periode 2015 hingga 2018 itu mengingatkan kepada seluruh pihak agar tidak membocorkan, menyebarkan, mengolah, dan menjual data pribadi masyarakat Indonesia tanpa hak.
Sebab, kegiatan tersebut merupakan tindakan ilegal dan melanggar hukum. Karena ilegal, Agung megimbau masyarakat tak memberi ruang kepada hacker. Caranya adalah dengan tidak membeli data pribadi yang hacker tawarkan.
"Jika benar ada pihak yang meretas, menyebarkan atau membeli data pribadi masyarakat Indonesia sejatinya bisa dipidanakan. Mereka bisa dijerat UU ITE dan UU Pelindungan Data Pribadi (UU PDP). Karena sudah menyangkut pidana, seharusnya pihak aparat penegak hukum, baik itu Kepolisian maupun Kejaksaan dapat segera mengusut serta menuntaskan kegaduhan kebocoran data yang ditimbulkan oleh hacker," papar Agung.
Jika aparat penegak hukum dapat bertindak cepat dengan mengusut dan menuntut para hacker yang membocorkan data pribadi ini ke ranah pidana, Agung berharap akan dapat memberikan efek jera kepada mereka.
Â
Dugaan Ulah Pihak Tertentu
Agung menduga, masih maraknya kebocoran data yang disampaikan oleh Bjorka, ada kemungkinan dikendalikan oleh pihak-pihak tertentu yang memiliki kepentingan.
"Di balik isu kebocoran data pribadi ini ada bisnis keamanan siber (cyber security) yang cukup besar. Saat ini bisnis cyber security besar tersebut dikuasai oleh perusahaan multi nasional yang berasal dari Amerika, China, dan Uni Eropa," tutur Agung.
Agar kebocoran data pribadi masyarakat Indonesia dapat ditekan di kemudian hari, Agung meminta agar pemerintah dapat mendefinisikan lebih rinci lagi mengenai wali data.
Tujuannya agar masyarakat merasa aman dan nyaman kepada penyelenggara sistem elektronik (PSE) Indonesia. Agung masih yakin PSE yang ada di Indonesia selalu menerapkan pengamanan data pribadi sesuai dengan standar yang berlaku.
"Sudah banyak PSE Indonesia yang menerapkan ISO 27001. Diharapkan dengan adanya security governance, nantinya akan ada SOP penanganan kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap sistem elektronik," katanya.
Agung berujar, dengan security governance, juga diharapkan akan ada SOP pelaporan kepada aparat penegak hukum karena telah membocorkan, menyebarkan, mengolah dan menjual data pribadi masyarakat Indonesia tanpa hak.
Advertisement
Pakar: Data PeduliLindungi yang Bocor dan Dijual Bjorka Valid, Pemerintah Harus Lakukan Digital Forensic
Bjorka kembali beraksi dengan mengklaim telah memiliki 3,2 miliar data yang berasal dari aplikasi PeduliLindungi. Ia diketahui menjual data tersebut melalui situs Breached.to.
Menurut pakar keamanan siber Pratama Persadha, data yang dibocorkan itu mencakup data pengguna, data vaksinasi, riwayat pelacakan, termasuk riwayat check-in pengguna aplikasi. Hal itu diketahui dari sampel data yang diberikan.
"Saat dicek apakah data ini valid menggunakan aplikasi pengecek nomor KTP, data ini benar valid terdata di data kependudukan. Dan, jika diperiksa lebih lanjut pada sampel datanya, ada banyak koordinat lokasi yang bertepatan dnegan fitur check-in PeduliLindungi di tempat-tempat publik," tutur Pratama dalam keterangan resmi yang diterima, Selasa (15/11/2022).
Kendati demikian, Pratama menuturkan, sumber datanya hingga saat ini belum jelas. Hanya mengenai keaslian atau tidaknya data ini, instansi yang terlibat dalam pembuatan aplikasi PeduliLindungi, seperti Kementerian Kominfo, Kementerian BUMN, Kementerian Kesehatan, dan Telkom yang bisa memastikan.
"Dan juga sangat disayangkan data yang sangat sensitif ini tidak maksimal pengamanannya, misalnya dengan melakukan enkripsi datanya. Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana," tutur Chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center ini.
Menurut Pratama, salah satu yang bisa dilakukan adalah mengecek terlebih dulu sistem informasi dari PeduliLindungi yang datanya dibocorkan oleh Bjorka. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data.
Sementara apabila setelah dilakukan pengecekan menyeluruh dan digital forensic tidak ditemukan celah keamanan maupun jejak digital peretasan, ada kemungkinan kebocoran data karena insider atau orang dalam.
Langgar UU PDP
"Hal ini memang bukan barang baru, karena dalam kebocoran data ada 3 penyebab utama, yaitu peretasan, karena human eror atau tindakan orang dalam, serta terakhir karena adanya kesalahan dalam sistem informasi tersebut," ujar Pratama menjelaskan.
Dengan kata lain, setiap kebocoran data tidak selalu disebabkan oleh serangan siber para peretas. Namun apabila memang terjadi serangan oleh peretas, hal itu tidak bisa langsung diidentifikasi para penyerangnya, karena tergantung dengan kemampuan si peretas.
Untuk itu, Pratama menuturkan, apabila ini benar data PeduliLindungi, berlaku Pasal 46 UU PDP ayat 1 dan 2 yang berisi dalam hal terjadi kegagalan perlindungan data pribadi, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3x24 jam.
"Pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, serta upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi," tuturnya.
Pratama pun menuturkan, pemerintah perlu segera membentuk lembaga pengawas PDP, semisal Komisi PDP. Sebab, ini sudah diamanatkan UU PDP agar presiden membentuk Komisi PDP setelah UU berlaku.
"Komisi PDP ini nanti tidak hanya mengawasi, tapi juga melakukan penegakan aturan serta menciptkaan standar keamanan tertentu dalam proses pengolahan pemrosesan data. Dalam kasus kebocoran data seperti aplikasi PeduliLindungi ini, bila ada masyarakat yang dirugikan nantinya bisa melakukan gugatan lewat Komisi PDP," ujar Pratama menutup pernyataannya.
Advertisement
Bjorka Klaim Punya 3,2 Miliar Data PeduliLindungi, Sebut Ada Luhut dan Deddy Corbuzier
Perlu diketahui, Bjorka kembali lagi beraksi. Kali ini, ia mengklaim memiliki 3,2 miliar data dari aplikasi PeduliLindungi. Hal itu diungkapnya melalui situs breached.to pada Selasa (15/11/2022).
Dalam keterangannya, Bjorka menyebut bahwa PeduliLindungi adalah aplikasi pelacakan kontak resmi Covid-19, yang digunakan untuk melacak kontak secara digital di Indonesia.
Ia menyebut, aplikasi PeduliLindungi dibuat oleh Kementerian Komunikasi dan Informatika bekerja sama dengan Komite Penanganan Corona Virus Disease 2019 dan Pemulihan Ekonomi Nasional, Kementerian Kesehatan, Kementerian BUMN, dan Telkom Indonesia.
"Aplikasi ini awalnya dikenal sebagai TraceTogether tetapi diganti karena Singapura menggunakan aplikasi yang bernama sama," kata Bjorka.
Berdasarkan informasi file yang diunggah, data yang ada sebesar 48 GB dalam kondisi dikompres dan 157 GB saat uncompressed, dengan total 3.250.144.777 data berformat CSV.
Bjorka mengklaim, data yang tersedia antara lain nama, email, Nomor Induk Kependudukan (NIK), nomor telepon, tanggal lahir, Device ID, status Covid-19, riwayat check-in, riwayat pelacakan kontak, hingga vaksinasi.
Bjorka bahkan mengklaim, data yang ada di sampel juga termasuk data pribadi milik Menkominfo Johnny G. Plate, Menko Marves Luhut Binsar Pandjaitan, dan host Deddy Corbuzier.
Data-data pribadi ini sendiri ia jual dengan harga USD 100 ribu dan hanya menerima pembayaran berupa Bitcoin (BTC). Terkait dugaan kebocoran data ini, belum ada pernyataan dari Kemkominfo maupun Kemenkes.
Infografis Buntut Aksi Hacker Bjorka & Prioritas RUU Perlindungan Data Pribadi. (Liputan6.com/Trieyasni)
Advertisement