TRIBUNNEWS.COM, JAKARTA - Dua hari terakhir ini publik dikejutkan oleh bocornya jutaan data peserta BPJS Kesehatan di internet.

Data-data pribadi peserta BPJS Kesehatan yang seharusnya menjadi barang rahasia, diekspos sedemikian rupa oleh akun bernama Kontz yang menjual data-data pribadi tersebut di Raid Forum.

Kabar data penduduk Indonesia bocor ini mencuat setelah cuitan akun Twitter @ndagels, Rabu (20/5/2021) menjadi viral.

"Hayoloh kenapa ga rame ini data 279 juta penduduk indonesia bocor dan dijual dan bahkan data orang yg udah meninggal, kira - kira dari instansi mana?" tulis akun itu.

Dalam gambar yang diunggah, anggota forum dengan nama akun Kotz diduga menjual data penduduk Indonesia.

Data tersebut diduga bocor dan diperjualbelikan di situs asing.

Data mencakup nomor induk kependudukan, KTP, nomor telepon, e-mail, nama lengkap, alamat, hingga gaji.

Manajemen BPJS Kesehatan pun 'kebakaran' dan buru-buru memberikan klarifikasi.

Kementerian Komunikasi dan Informatika (Kominfo) juga ikut gusar dan langsung melakukan investigasi terkait dugaan kebocoran data pribadi penduduk Indonesia.

Dalam pernyataan resminya Kominfo menyampaikan, sampel data pribadi yang beredar telah diinvestigasi sejak 20 Mei 2021.

Berdasarkan investigasi tersebut, Kominfo menemukan akun bernama Kotz menjual data pribadi di Raid Forums.

Akun Kotz merupakan pembeli dan penjual data pribadi atau reseller.

Juru Bicara Kementerian Kominfo, Dedy Permadi, membantah isu data pribadi yang bocor sebanyak 279 juta data.

"Data sampel yang ditemukan tidak berjumlah 1 juta seperti klaim penjual, namun berjumlah 100.002 data," ujarnya, dikutip dari laman kominfo.go.id, Jumat (21/5/2021).

Kominfo menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan.

Hal tersebut didasarkan pada struktur data yang terdiri dari Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status pembayaran yang identik dengan data BPJS Kesehatan.

Baca juga: Kominfo Telah Blokir Dua Tautan Situs Berisi Data Warga Peserta BPJS Kesehatan yang Bocor

Kominfo lalu melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut.

Dedy Permadi mengatakan, terdapat tiga tautan yang terindetifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com.

Baca juga: Ahli Siber Sebut Ada Unsur dari Sisi SDM yang Sebabkan Bocornya Data 279 Juta Peserta BPJS Kesehatan

"Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown," katanya.

"Sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera," jelas Dedy.

Panggil Direksi BPJS Kesehatan

Kominfo hari ini langsung memanggil direksi BPJS Kesehatan yang diduga ceroboh mengelola data pribadi psertanya, untuk proses investigasi secara lebih mendalam, Jumat (21/5/2021).

Kominfo menyandarkan pada Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE).

Selain itu, juga sesuai Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Penyelenggara Sistem Elektronik (PSE) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib untuk melaporkan dalam kesempatan pertama kepada Kominfo dan pihak berwenang lain.

PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi bahwa terjadi kegagalan perlindungan data pribadi.

Sebanyak 279 juta data penduduk Indonesia itu disebutkan 20 juta di antaranya memuat foto pribadi.

Akun Twitter @ndagels lalu me-retweet akun @Br_AM yang menyebut data pribadi yang dijual online itu bersumber dari BPJS Kesehatan.

Akun itu menyebut jika dataset yang diduga data pribadi penduduk Indonesia itu dijual dengan harga 0,15 bitcoin.

Bocor Sejak Lama

Kepala Indonesia Cyber Security Forum, Ardi Sutedja,
menduga kebocoran ini telah dimulai sejak lama karena tidak mungkin terjadi dalam waktu yang singkat.

Ardi juga meyakini ada unsur orang dalam atau unsur dari sisi SDM.

Sebab, tidak mungkin ada orang yang bisa menerobos suatu sistem keamanan jaringan komputer, atau server terbesar tanpa ada faktor manusia.

"Melihat celah-celah yang ada di dalam sistem, di sistem komputer mereka, lembaga yang diretas, dilihat kelemahannya. Tapi pasti ada juga unsur orang dalam, artinya unsur di sisi SDM-nya."

"Itu yang biasanya dicari. Enggak mungkin lantas orang bisa menerobos suatu sistem keamanan jaringan komputer atau server terbesar, tanpa ada faktor manusia," kata Ardi dikutip dari tayangan video di kanal YouTube Kompas TV, Jumat (21/5/2021).

Ardi mengungkapkan, BPJS bukan merupakan lembaga kecil.

Sehingga, BPJS pasti telah menanamkan investasi di bidang teknologi dengan cukup besar.

"Ini juga bukan merupakan lembaga kecil, mereka pasti sudah menanamkan investasi di bidang teknologi dengan cukup besar," sambungnya.

Untuk itu, perlu adanya penelusuran terkait kelemahan yang ada dalam sistem pengamanan datanya.

"Kalau sudah lakukan hal semua ini, jadi apa yang menjadi kelemahan di dalam suatu sistem pengamanan di data mereka."

"Ini yang harus ditelusuri, apakah ini benar BPJS atau bukan, kan kita enggak tahu. Yang jelas kan data sudah bocor," kata Ardi.

Komentar Roy Suryo

Melalui akun Twitter miliknya, pengamat telematika Roy Suryo juga mempertanyakan kepada Badan Siber dan Sandi Negara (BSSN).

"Sudah viral dan bahkan dimuat di hampir semua media mainstream soal kebocoran data-data penduduk Indonesia sejumlah 279 juta jiwa dan dijual di situs online, namun barusan siaran pers resmi Kemkominfo menyatakan bahwa "belum dapat disimpulkan terjadinya kebocoran."

"Bagaimana ini BSSN? AMBYAR," lanjut Roy Suryo.

Saat dikonfirmasi Tribunnews.com, Roy Suryo menyebut kasus bocornya data kependudukan berada di bawah tanggung jawab BSSN.

"Iya, BSSN lah yang seharusnya bertanggung jawab atas hal-hal tersebut," ucap Roy Suryo melalui pesan singkat, Jumat (21/5/2021).