Awas! Data Pribadi Bocor jadi Ancaman Serius bagi Negara

Awas! Data Pribadi Bocor jadi Ancaman Serius bagi Negara

Jakarta – Pencurian data pribadi, baik dari lembaga pemerintahan maupun korporasi masih sering terjadi di Tanah Air. Beberapa kasus kejahatan siber yang menyerang Garuda Indonesia, Dirjen Imigrasi, hingga Bank Syariah Indonesia (BSI), dilakukan oleh oknum hacker untuk kepentingan pribadi.

Terbaru, sebanyak 377 data, sebanyak 377 Juta data informasi warga Indonesia diduga bocor dan dijual di forum hacker Internet. Menanggapi hal tersebut, Chairman Lembaga Riset Keamanan Siber CISSReC Dr. Pratama Persadha angkat suara.

“Serangan siber yang paling akhir terjadi saat ini adalah pencurian data pribadi yang diklaim berasal dari Dukcapil (Direktorat Kependudukan dan Catatan Sipil) Kementerian Dalam Negeri,” katanya, dikutip Senin, 17 Juli 2023.

Menurutnya, informasi kebocoran data tersebut diunggah pada sebuah forum yang biasa dipergunakan untuk melakukan jual beli kebocoran data yang seorang hacker berhasil dapatkan pada tanggal 14 Juli 2023 oleh seseorang dengan nama samaran “RRR’.

“Data pribadi yang diklaim didapatkan oleh akun “RRR” tersebut berjumlah 337 juta data terkait penduduk Indonesia yang berhasil didapatkannya dari server dukcapil.kemendagri.go.id,” bebernya.

Lanjutnya, menurut pernyataan “RRR”, dia juga berhasil mendapatkan total 7 table di mana yang ditawarkan untuk dijual saat ini adalah salah satu dari table tersebut. Dari tangkapan layar yang dibagikan, data yang ditawarkan tersebut berasal dari table “data_penduduks”.

Baca juga: Data Breaches dan Ransomware jadi Primadona Cyber Crime di Sektor Keuangan

Ia menambahkan, apabila ada beberapa field yang sangat berbahaya bagi masyarakat terdampak kebocoran data ini karena terdapat field “NAMA_LGKP_IBU”, di mana data nama lengkap ibu kandung ini biasanya dipergunakan sebagai lapisan keamanan tambahan di sektor perbankan.

Ini lantaran, nama lengkap ibu kandung tersebut akan diminta pada saat melakukan pembukaan rekening bank serta kartu kredit, dan jika seseorang melakukan aktivitas perbankan melalui customer service, baik melalui telepon atau offline di cabang bank maka akan ditanyakan nama ibu kandung pada saat melakukan verifikasi data perbankan selain data diri dari nasabah. 

Hal tersebut dikarenakan nama ibu kandung adalah sebuah data yang tidak diketahui oleh orang banyak dan jarang diketahui oleh orang lain. 

“Dapat dibayangkan betapa berbahayanya data nama ibu kandung tersebut jika sampai data ini jatuh ke tangan orang yang akan melakukan tindakan kriminal dan penipuan terutama jika data tersebut digabungkan dengan kebocoran data lainnya sehingga bisa mendapatkan profil data yang cukup lengkap dari calon korban penipuan seperti Nama, NIK, No KK, Alamat, No HP, Alamat Email, No Rekening, Nama Ibu Kandung, “ jelasnya.

Dengan begitu, kata dia, pelaku kejahatan bisa leluasa melakukan penipuan dengan metode social engineering menggunakan data tersebut. Menurutnya, kebocoran data ini tentu saja sangat berbahaya bagi masyarakat yang datanya termasuk dalam data yang didapatkan oleh hacker tersebut. 

Dikarenakan, data pribadi yang ada tersebut dapat dimanfaatkan oleh orang lain untuk melakukan tindak kejahatan seperti penipuan, baik penipuan secara langsung kepada orang yang datanya bocor tersebut, maupun penipuan lain dengan mengatasnamakan atau menggunakan data pribadi orang lain yg bocor tersebut. 

“Lebih berbahaya lagi jika data pribadi tersebut dipergunakan untuk membuat identitas palsu yang kemudian dipergunakan untuk melakukan tindakan terorisme, sehingga pihak serta keluarga yang data pribadinya dipergunakan akan mendapat tuduhan sebagai teroris atau kelompok pendukungnya,” ucap pria kelahiran Cepu, Jawa Tengah ini.

Mantan Direktur Pam Sinyal BSSN ini menegaskan, apabila kebocoran data yang terjadi juga dapat merugikan pemerintah, karena jika sumber kebocoran di klaim berasal dari salah satu lembaga pemerintahan, pihak lain akan  menyimpulkan bahwa faktor keamanan siber sektor pemerintahan adalah cukup rendah. 

Hal ini kata dia, akan mencoreng nama baik pemerintah baik dimata masyarakat Indonesia maupun di mata dunia internasional, karena pemerintah tidak sanggup melakukan pengamanan siber untuk institusi nya, padahal banyak pihak yang memiliki kompetensi tinggi seperti BSSN, BIN serta Kominfo.

Meski belum ada keterangan resmi dari Dirjen Disdukcapil, Ada beberapa field yang mengarah bahwa data yang bocor tersebut kemungkinan memang berasal dari antara lain ada beberapa field yaitu EKTP_CREATED_DATE, EKTP_CREATED_BY, EKTP_UPDATED_DATE, EKTP_UPDATED_BY, EKTP_UPLOAD_LOCATION, EKTP_BATCH serta EKTP_CURRENT_STATUS_CODE.

Di mana, data seharusnya terkait dengan penerbitan EKTP. Hanya saja pada data sample yang diberikan oleh akun anonim “RRR” data tersebut masih kosong semua.

Baca juga: Waspada! Ini Modus Serangan Siber Teranyar di Indonesia

Selain data yang terkait dengan EKTP, ada beberapa field seperti IP_PET_REG, NAMA_PET_ENTRI, NIP_PET_ENTRI, TGL_ENTRI yang bisa dimanfaatkan untuk verififikasi apakah betul data bersumber dari disdukcapil. 

“Dari hasil investigasi singkat CISSReC, beberapa nama yang tercantum dalam field “NAMA_PET_ENTRI” adalah karyawan dari Disdukcapil,” imbuh dosen tetap STIN dan PTIK ini.

Diketahui, hacker dengan nama anonim “RRR” tersebut tidak hanya memberikan informasi kebocoran data dari Disdukcapil saja.

Di Forum tersebut, akun “RRR” juga memberikan serta menawarkan beberapa data Indonesia lainnya seperti 1.3 Trilyun data registrasi simcard, 36 Juta data Kendaraan Bermotor, 272 Juta data  BPJS, 2 Juta data photo dari BPJS, 34 Juta data Passport, 6,9 Juta data Visa, 186 Juta data KPU, 1 Trilun data Kemendesa, 337 Juta data Disdukcapil serta yang paling baru adalah 6,8 Juta data DPT provinsi DKI. 

Selain data dari negara Indonesia, akun “RRR” juga menawarkan beberapa data yang juga didapatkan dari negara lainnya seperti 15 Juta data korporasi Jepang, 108 Juta data Iran Telecom, 3 Juta data kendaraan & 2.8 Juta data penduduk Lebanon, 28.6 Juta data pekerja Taiwan, 23.5 Juta data kependudukan Taiwan, 30 Juta data pribadi penduduk Thailand, 789 Juta data pemilih India, 10 Juta data dari operator telekomunikasi Jordania, 23 Juta data facebook Jepang serta 51 Juta data facebook Vietnam.

Melihat seringnya terjadi kebocoran data pribadi, pihaknya meminta pemerintah harus lebih serius dalam menerapkan hukum dan regulasi terkait dengan Pelindungan Data Pribadi. 

Dalam kasus kebocoran data, pihak-pihak yang harus bertanggung jawab adalah perusahaan sebagai pengendali atau pemroses data, serta pelaku kejahatan siber yang menyebarkan data pribadi ke ruang publik. Untuk pihak-pihak yang berdomisili di Indonesia kita bisa menggunakan UU PDP pasal 57 sebagai dasar tuntutan.

Pakar yang sedang mengambil studi di Lemhanaa ini menambahkan bahwa UU PDP bukanlah tidak ampuh, namun belum bisa diterapkan secara maksimal karena adanya beberapa hambatan. 

UU PDP memang sudah disahkan pada tahun 2022 dan langsung berlaku saat diundangkan, namun DPR dan pemerintah masih memberikan masa transisi selama 2 tahun, seperti diatur dalam UU PDP pasal 74, untuk semua pihak mulai menyesuaikan kebijakan internal sesuai dengan diatur dalam UU PDP termasuk salah satunya adalah merekrut Petugas Pelindungan Data (Data Protection Officer). 

Namun, pelanggaran terkait UU PDP yang dilakukan selama masa transisi tersebut sudah dapat dikenakan sanksi hukuman pidana. Hal ini sesuai dengan pasal 76 UU PDP yang menyebutkan bahwa undang-undang berlaku sejak tanggal diundangkan, meskipun untuk sanksi administratif masih harus menunggu turunan dari UU PDP. 

Hal ini tentu saja berbeda dengan UU no 1 tahun 2023 tentang KUHP dimana dalam pasal 624 UU KUHP diatur bahwa UU KUHP mulai berlaku setelah 3 (tiga) tahun terhitung sejak tanggal diundangkan.

“Hanya saja sanksi hukuman tersebut hanya dapat dijatuhkan oleh lembaga atau komisi yang dibentuk oleh pemerintah dalam hal ini adalah Presiden. Sehingga jika komisi PDP tersebut tidak segera dibentuk, maka pelanggaran yang dilakukan tidak akan dapat diberikan sanksi hukuman,” paparnya.

Pada Oktober 2024, kata dia, adalah batas maksimal diberlakukannya UU PDP secara penuh, namun seharusnya bisa lebih cepat jika pemerintah sudah membentuk lembaga nya serta turunan UU nya.

“Jadi yang perlu secepatnya dilakukan oleh pemerintah adalah Presiden segera membentuk komisi PDP sesuai amanat UU PDP pasal 58 s.d. pasal 60 UU PDP, di mana lembaga pengawas PDP ini berada di bawah Presiden dan bertanggung jawab kepada Presiden,” ucap pakar keamanan siber ini.

Menurutnya, dengan melakukan pembentukan lembaga atau otoritas tersebut proses penegakan hukum serta pemberian sanksi bisa segera diterapkan, sehingga diharapkan dengan diterapkan sanksi administratif serta sanksi hukum yang ada di UU PDP, pihak-pihak yang terkait dengan data pribadi lebih perhatian terhadap keamanan data pribadi.

Hal ini juga bertujuan agar kasus-kasus insiden kebocoran data pribadi dapat diselesaikan dengan baik dan rakyat bisa terlindungi. (*)

Editor: Rezkiana Nisaputra

Related Posts

News Update

Top News