TRIBUNNEWS.COM, JAKARTA - Kementerian Komunikasi dan Informatika (Kominfo) memastikan data kependudukan yang bocor di Raid Forum adalah milik Badan Penyelenggaraan Jaminan Sosial (BPJS) Kesehatan.

Kepastian itu berdasarkan temuan dan analisa yang dilakukan terhadap satu juta sampel data yang dibagikan secara gratis oleh akun Kotz di Raid Forums.

Juru Bicara Kementerian Kominfo Dedy Permadi menyampaikan ada 100.002 data penduduk Indonesia yang telah terkonfirmasi dari satu juta data itu.

"Bahwa 100.002 data pribadi ini diduga kuat berasal dari data BPJS Kesehatan," ujar Dedy, Jumat (21/5/2021).

Dedy menyampaikan, data itu diduga kuat berasal dari BPJS karena sejumlah data yang dibocorkan Kotz terkumpul nomor kartu peserta BPJS, kode kantor BPJS, data keluarga, tanggungan jaminan kesehatan, hingga status pembayaran jaminan.

Baca juga: Bocornya Jutaan Data BPJS Kesehatan Diduga Sudah Lama, Kominfo Geram, Roy Suryo Sentil BSSN

Sementara itu dari total kebocoran 279 juta data yang diperjualbelikan dalam dua hari terakhir itu merupakan gabungan dari peretas lain. Artinya ada data lain yang digabungkan dengan data milik BPJS Kesehatan.

Baca juga: Bareskrim Polri Bakal Usut Bocornya 279 Juta Data Penduduk Indonesia

Menindaklanjuti hal ini, Kominfo menyatakan telah melayangkan perintah pemanggilan kepada direksi BPJS Kesehatan. Langkah itu merupakan upaya untuk meminta klarifikasi perihal data yang bocor di Raid Forums.

Baca juga: Kominfo Telah Blokir Dua Tautan Situs Berisi Data Warga Peserta BPJS Kesehatan yang Bocor

"Pada hari ini Kominfo memanggil direksi BPJS Kesehatan untuk menyampaikan penjelasan terkait dengan dugaan kebocoran data ini," ujarnya.

Hasil penelusuran Kominfo menyebut bahwa akun Kotz adalah penjual dan pembeli data-data pribadi.

Tak hanya dari Indonesia, Kotz disebut juga membeli data dan mejual data pribadi di negara lain lewat Raid Forums.

"Berdasarkan jejak digital yang ditelusuri oleh Kominfo maka user atas nama Kotz telah melakukan aktivitas pembelian dan penjualan data pribadi dalam kurun waktu beberapa bulan terakhir. Data yang dijual tak hanya dari Indonesia, ada data dari luar negeri yang dijual oleh akun tersebut," imbuh Dedy.

Dedy menambahkan, berdasarkan PP 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, PSE (Penyelenggara Sistem Elektronik) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain.

Sebelumnya diberitakan, jagad dunia maya dihebohkan dengan sebuah akun yang menawarkan data.

Pengguna Twitter dengan handle @Br_AM mengungkap bahwa dataset yang diduga berisi data pribadi penduduk Indonesia itu dijual dengan harga 0,15 bitcoin, atau sekitar Rp 84,4 juta.

Akun @ndagels di Twitter menginformasikan kebocoran itu dan cukup bikin heboh para warganet.

"Hayoloh kenapa ga rame ini data 279 juta penduduk indonesia bocor dan dijual dan bahkan data orang yg udah meninggal, kira - kira dari instansi mana?," tulis @ndagels.

Pihak BPJS Kesehatan, melalui Kepala Humas BPJS Kesehatan, Iqbal Anas mengatakan, sedang menelusuri untuk memastikan kebenaran sumber data berasal dari BPJS Keseatan.

"Kami sudah mengerahkan tim khusus untuk sesegera mungkin melacak dan menemukan sumbernya," katanya, Kamis (20/5/2021).

Bantahan Kemendagri

Kemendagri lewat Dirjen Kependudukan dan catatan sipil (Dukcapil), Zudan Arif Fakrullah membantah bahwa kebocoran data tersebut dari sistem di Dukcapil.

Berdasarkan analisisnya dan tim di Dukcapil, Zudan mengatakan, pada kasus kebocoran data individu yang infonya berasal dari twitter dan didapat sejumlah fakta.

Pelaku mengiklankan penjualan data individu di website dengan alamat https://raidforums.com/Thread-SELLING-Indonesian-full-Citizen-200M-NIK-KPT-PHONE-NAME-MAI-LADDRESS-Free-1Million.

“Nama user yg mengiklankan data tersebut adalah Kotz,” kata Dirjen Zudan Arif Fakrulloh (ZAF) dalam keterangannya, Kamis (20/5/2021).

Dirjen Dukcapil itu mengatakan, pada iklan di website tersebut yang bersangkutan memberikan link sample data individu yang bisa didownload sebagai sampel data.
Data yangg sudah di download berbentuk file CSV (comma separated value) dan setelah diimport berjumlah 1.000.000 rows.

Dirjen ZAF mengungkapkan hasil penelusuran tim dari hasil import data sampel tersebut, diperoleh struktur data yang terdiri dari kolom-kolom.

Diantaranya sebagai berikut: PSNOKA, PSNOKALAMA, PSNOKALAMA2, NAMA, NMCETAK, JENKEL, AGAMA, TMPLHR, TGLLHR, FLAGTANGGUNGAN, NOHP, NIK, NOKTP, TMT, TAT, NPWP, EMAIL, NOKA, KDHUBKEL, KDSTAWIN, KDNEGARA, KDGOLDARAH, KDSTATUSPST, KDKANTOR, TSINPUT, TSUPDATE, USERINPUT, USERUPDATE, TSSTATUS, DAFTAR.

“Berdasarkan poin 4, dari struktur dan pola datanya, saya memastikan itu bukan data yang bersumber dari dukcapil. Karena struktur data di Dukcapil tidak seperti itu. Struktur data di dukcapil tidak ada tanggungan, email, npwp, no hp, tmt, tat,” ujarnya.

Zudan mengatakan, Presiden RI Joko Widodo pernah menyatakan 'data is new oil'. Inti pesannya adalah, data akurat tak ubahnya kekayaan baru yang sangat berharga saat ini. Bahkan nilainya bisa lebih berharga daripada minyak.

“Tak heran, saking berharganya data, banyak pihak berupaya menjual data dengan berbagai cara, bahkan tidak peduli dengan cara ilegal sekalipun,” ujarnya.

Tsunami Data

Ketua Komisi II DPR RI Ahmad Doli Kurnia, terkait bocornya 279 juta data penduduk Indonesia, dapat diibaratkan tengah terjadi tsunami kebocoran data di tanah air.

"Kalau informasi itu benar, ini bukan hanya bencana, tetapi tsunami data," ujar Doli, ketika dihubungi Tribunnews.com, Jumat (21/5/2021).

Politikus Golkar itu menegaskan, harus dicari tahu apa penyebab dan siapa yang bertanggung jawab atas kebocoran data tersebut. Doli sendiri mengatakan akan mengkonfirmasi hal ini ke pihak-pihak terkait.

"Tentu kita harus mencari tahu penyebab dan siapa yang bertanggung jawab atas kebocoran itu. Sesegera mungkin kami akan konfirmasi ke beberapa pihak terkait," jelasnya.

Untuk saat ini, dia sudah mengkonfirmasi bahwa kebocoran data bukan berasal dari Kemendagri.

Namun Doli akan kembali memastikannya kepada Menteri Dalam Negeri Tito Karnavian saat rapat kerja dengan Komisi II DPR RI.

Masih Misteri

Geger bocornya 279 juta data penduduk Indonesia yang dijual murah masih menjadi misteri. Data penting itu diduga berisi informasi nomor ponsel, alamat, id BPJS hingga nominal gaji dari setiap penduduk.

Sontak hal ini membuat jagat media sosial kembali ramai dan mempertanyakan seberapa kuat keamanan perlindungan data penduduk Indonesia.

Data yang bocor dan dijual di raidforums.com itu diduga berasal dari kebocoran salah satu instansi pemerintah, yaitu BPJS.

Pakar keamanan siber Pratama Persadha mengatakan, perihal benar tidaknya data itu adalah BPJS Kesehatan, sebaiknya menunggu keterangan resmi dari pihak terkait sambil dilakukan pemeriksaan digital forensik.

"Bila dicek, data sample sebesar 240MB ini berisi nomor identitas kependudukan (NIK), nomor HP, alamat, alamat e-mail, Nomor Pokok Wajib Pajak (NPWP), tempat tanggal lahir, jenis kelamin, jumlah tanggungan dan data pribadi lainnya yang bahkan si penyebar data mengklaim ada 20 juta data yang berisi foto,” terang Pratama yang juga menjadi Chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center) ini melalui keterangannya, Jumat (21/5/2021).

Pratama menduga, ada kejanggalan dalam file yang diunduh oleh peretas terdapat data NOKA atau nomor kartu BPJS kesehatan. Sebab, pelaku mengklaim bahwa ia mempunyai data file sebanyak 272.788.202 juta penduduk.

Melihat hal ini, Pratama merasa heran karena akun Kotz mengaku mempunyai 270 juta lebih data serupa, sementara anggota BPJS kesehatan sendiri di akhir 2020 adalah 222 juta.

"Dari nomor BPJS Kesehatan yang ada di file bila dicek online ternyata datanya benar sama dengan nama yang ada di file. Tapi pelaku mengklaim punya data 270 juta, sedangkan data terakhir BPJS hanya 222 Juta. Jadi memang kemungkinan besar data tersebut berasal dari BPJS Kesehatan," jelasnya.

Kebocoran data tersebut menurut Pratama diduga dilakukan dengan cara phishing yang ditargetkan atau jenis serangan rekayasa sosial (sosial engineering). Sehingga semakin banyak yang mengakses, peretas semakin mudah pula mencuri data tersebut.

"Dugaan terkuat dilakukan melalui phising. Walaupun di dalam file yang diklaim peretas tidak ditemukan data yang sangat sensitif seperti detail kartu kredit, namun masyarakat harus waspada beberapa data pribadi yang ada. Karena bisa saja pelaku berniat menyalahgunakan data di dunia maya yang merugikan si pemilik data asli," jelas Pratama.

Revisi UU Perlindungan Data

Anggota Komisi I DPR RI Fraksi NasDem Muhammad Farhan mendesak agar Revisi Undang-Undang (RUU) Perlindungan Data Pribadi (PDP) segera diselesaikan.

Desakan itu, kata Farhan, perlu dilakukan imbas dari bocornya 279 juta data penduduk Indonesia dan diperjualbelikan.

"Hal ini merupakan sebuah kejadian yang sangat buruk dan mendesak kita untuk segera menyelesaikan RUU PDP," ujar Farhan, ketika dihubungi Tribunnews.com, Jumat (21/5).
Menurut Farhan, sampai hari ini tidak ada satupun otoritas yang bisa mencegah atau menghentikan kejadian bocornya data penduduk Indonesia terulang kembali.

Dia beralasan hal itu terjadi karena Indonesia tidak memiliki dasar hukum yang kuat perihal kebocoran data penduduknya.

"Maka kita kuatkan komitmen untuk memastikan bahwa RUU PDP dapat disahkan tahun ini," kata Farhan. (tim/tribunnetwork/cep)