Channel9.id-Jakarta. Baru-baru ini, data 279 juta penduduk Indonesia bocor dan dijual online di forum hacker, Raid Forums. Adapun data yang bocor berupa NIK (Nomor Induk Kependudukan), nama, alamat, hingga nomor telepon.
Penjual data dengan nama Knotz itu menyertakan file sebesar 240 MB yang berisikan sejuta sampel data. “1 juta sampel data untuk tes. Seluruhnya 279 juta. 20 juta di antaranya punya foto pribadi,” tulisnya pada Rabu, 12 Mei lalu.
Kasus itu menuai komentar dari sejumlah ahli. Salah satunya pakar keamanan siber dari Vaksincom Alfons Tanujaya, yang berpendapat kasus itu bisa saja valid. “Kalau dia (penjual data) bisa dapat seluruh data yah logikanya data base atau backup-nya yang jebol, data pusat,” sambungnya, Kamis (20/5).
Ia menegaskan bahwa rajin backup data saja tak cukup untuk melindungi data. Demi keamanan, harus ada solusi keamanan yg mumpuni seperti DoH DNS over Https dan cloud protection.
Lebih lanjut, setelah ditelusuri Vaksincom, rupanya kebocoran data itu berasal dari Badan Penyelenggara Jaminan Sosial (BPJS). “Itu confirm datanya BPJS. Menurut pengecekan Vaksincom memang data yang disebarkan di raid forum adalah data BPJS,” ungkap Alfons.
Pihak Vaksincom sudah melakukan tes terhadap mayoritas sejuta data sampel yang bocor itu dan ternyata sinkron dengan informasi di BPJS. Pihak Vaksincom mengecek data dengan menyocokkan nomor kartu dan nama anggota, kemudian didapati bahwa hasilnya sesuai ketika dicek di website BPJS Kesehatan.
Meski belum semuanya diteliti, Alfons dan pihaknya berasumsi semuanya valid.
Belum diketahui dengan pasti bagaimana data sensitif penduduk tersebut bisa sampai bocor dan siapa pelaku atau hacker di baliknya.
Sementara itu, Kepala Humas BPJS Iqbal Anas Ma’ruf menegaskan pihaknya sedang melakukan penelusuran lebih lanjut untuk memastikan apakah data yang bocor tersebut berasal dari BPJS Kesehatan atau bukan.
“Kami sudah mengerahkan tim khusus untuk sesegera mungkin melacak dan menemukan sumbernya,” kata Iqbal, Kamis (20/5).
Meski begitu, Iqbal menegaskan bahwa BPJS Kesehatan konsisten memastikan keamanan data peserta BPJS Kesehatan dilindungi sebaik-baiknya. Ia menyebut pihaknya memiliki sistem pengamanan data yang ketat dan berlapis sebagai upaya menjamin kerahasiaan data dan bekoordinasi dengan pihak-pihak terkait untuk memberikan perlindungan data yang lebih maksimal.
Risiko kebocoran data
Chairman Lembaga Riset Siber CISSReC Pratama Persadha membeberkan bahaya kebocoran data bagi si korban.
“Sangat berbahaya bila benar data ini bocor dari BPJS. Karena datanya valid dan bisa digunakan sebagai bahan baku kejahatan digital terutama kejahatan perbankan. Dari data ini bisa digunakan pelaku kejahatan untuk membuat KTP palsu dan kemudian menjebol rekening korban,” ungkap dia melalui keterangan tertulis, Jumat (21/5).
Dengan informasi itu, penjahat siber bisa melakukan serangan phising dan social engineering yang jauh lebih meyakinkan bagi para korbannya.
“Walaupun di dalam file tak ditemukan data yang sangat sensitif seperti detail kartu kredit, namun dengan beberapa data pribadi yang ada, maka bagi pelaku penjahat dunia maya sudah cukup untuk menyebabkan kerusakan dan ancaman nyata,” jelas Pratama.
Ia menjelaskan, untuk menghindari pelaku peretasan sebaiknya mulai saat ini semua instansi di bawah pemerintah wajib bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) untuk melakukan audit digital forensic guna menutupi celah sistem keamanan siber.
“Pemerintah juga wajib melakukan pengujian sistem atau Penetration Test (Pentest) secara berkala kepada seluruh sistem lembaga pemerintahan. Ini sebagai langkah preventif sehingga dari awal dapat ditemukan kelemahan yang harus diperbaiki segera,” lanjut dia.
Lebih jauh, ia menekankan bahwa tak ada sistem yang 100 persen% dari ancaman peretasan maupun bentuk serangan siber lainnya. “Karena sadar akan hal tersebut, maka perlu dibuat sistem yang terbaik dan dijalankan oleh orang-orang terbaik dan berkompeten agar selalu bisa melakukan pengamanan dengan standar yang tinggi,” pungkasnya.
(LH)