Tangkapan layar parameter PSNOKA dalam sampel data yang dibagikan di forum peretasan } Sumber: Twitter Teguh Apriyanto
Tangkapan layar parameter PSNOKA dalam sampel data yang dibagikan di forum peretasan } Sumber: Twitter Teguh Apriyanto
Cyberthreat.id - Data pribadi milik 279 juta warga Indonesia (termasuk data warga yang sudah meninggal) diperjualbelikan di forum peretesan online seharga Rp84,3 juta atau sekitar US$6 juta. Penjual data dengan nama pengguna Kotz mengaku mendapatkan data itu dari situs bpjs-kesehatan.go.id milik Badan Penyelenggaraan Jaminan Kesehatan (BPJS).
Setelah kabar itu mencuat di media massa, pihak BPJS belum secara terbuka mengakui bahwa data itu berasal dari server mereka. Kepala Humas BPJS Kesehatan M Iqbal Anas Ma'ruf pada hari Kamis (20 Mei 2021) mengatakan pihaknya telah mengerahkan tim khusus untuk melacak dan memastikan apakah data itu berasal dari BPJS Kesehatan atau bukan.
Iqbal juga mencoba meyakinkan publik bahwa pihaknya selama ini "Secara konsisten memastikan keamanan data peserta BPJS Kesehatan dengan menerapkan sistem pengamanan data yang ketat dan berlapis sebagai upaya menjamn kerahasiaan data, termasuk data peserta JKN-KIS." (Selengkapnya lihat: BPJS Diduga Jadi Pintu Kebocoran Data 279 Juta Warga RI, Begini Respon Humasnya)
Di RaidForums, penjual data memberikan sampel data gratis berisi data pribadi milik 1 juta orang. Sampel data itu dalam bentuk file CSV dengan struktur data yng memuat kolom-kolom berisi: PSNOKA, PSNOKALAMA, PSNOKALAMA2, NAMA, NMCETAK, JENKEL, AGAMA, TMPLHR, TGLLHR, FLAGTANGGUNGAN, NOHP, NIK, NOKTP, TMT, TAT, NPWP, EMAIL, NOKA, KDHUBKEL, KDSTAWIN, KDNEGARA, KDGOLDARAH, KDSTATUSPST, KDKANTOR, TSINPUT, TSUPDATE, USERINPUT, USERUPDATE, TSSTATUS, DAFTAR.
Dirjen Kependudukan dan Catatan Sipil Kementerian Dalam Negeri Zudan Arif Fakrulloh pada hari yang sama mengatakan, berdasarkan struktur data itu, pihaknya memastikan data tersebut bukan bersumber dari Dukcapil.
"Saya memastikan itu bukan data yang bersumber dari Dukcapil. Karena struktur data di Dukcapil tidak seperti itu. Struktur data di Dukcapil tidak ada TANGGUNGAN, EMAIL, NPWP, No HP, TMT, TAT," kata Zudan. (Lihat: Data 279 Juta Warga RI Dijual di Forum Peretas, Dirjen Zudan: Struktur Datanya Berbeda dengan Dukcapil).
Amatan Cyberthreat.id, berdasarkan kolom-kolom yang ada di data tersebut, seperti kata Zudan, memang tidak mengarah ke data Dukcapil. Data itu lebih cocok ke pola pendataan milik BPJS. Salah satu indikasinya adalah adanya istilah PSNOKA dan PSNOKA lama di data tersebut.
Seperti diketahui NOKA adalah istilah yang digunakan BPJS untuk menyebut Nomor Kartu BPJS. Tampaknya NOKA adalah singkatan dari Nomor Kartu. Istilah NOKA, misalnya, digunakan BPJS untuk registrasi ulang seperti disampaikan oleh akun Facebook terverifikasi milik BPJS Kesehatan dalam tangkapan layar di bawah ini.
Contoh lainnya adalah seperti terlihat dalam dokumen milik Pemerintah Kabupaten Bantul (klik di sini) yang memuat istilah "NOKA BPJS" dan "PSNOKA BPJS." Data itu tampaknya berisi daftar nama peserta BPJS yang sebelumnya ditanggung pembiayaannya oleh pemerintah Kabupaten Bantul. Istilah serupa juga muncul dalam data Pemerintah Kabupaten Kebumen (klik di sini).
Pendiri komunitas Ethical Hacker Indonesia Teguh Aprianto juga memberi catatan bahwa yang menggunakan istilah PSNOKA hanya BPJS.
"Soal 279 juta data yg bocor, berdasarkan pengakuan dari pelaku, data tersebut bersumber dari @BPJSKesehatanRI. Kemudian dibantah oleh BPJS Kesehatan. Padahal yg punya field PSNOKA itu cuma mereka. Membantah tanpa investigasi jangan dijadiin kebiasaan, bikin orang tambah marah," tulis Teguh di Twitter, Kamis (20 Mei 2021), sembari melampirkan sampel data yang digratiskan oleh penjualnya namun telah diburamkan di bagian data sensitif.
Sampel data yang digratiskan | Sumber: Twitter Teguh Apriyanto.
Merespon cuitan Teguh, sejumlah netizen lain memperkuat indikasi itu dengan mengirimkan tangkapan layar terkait istilah-istilah yang digunakan oleh BPJS.
Seorang pengguna Twitter pemilik akun @akumow mengunggah tangkapan layar berisi nama-nama yang terkait dengan pejabat BPJS. Dalam sebuah tangkapan layar, dia melingkari nama Antokalina, Zammanar, dan Edi Wiyono yang terdapat dalam daftar. Daftar itu lalu dilengkapi dengan arsip pemberitaan media yang menyebut Antokalina adalah Kepala BPJS Kesehatan Jember, Zammanar sebagai Kabid SDM Umum dan Komunikasi Publik BPJS Kesehatan Kota Surabaya yang bernama lengkap Achmad Zammanar Azam, dan Edi Wiyono yang dalam pemberitaan media disebut menjabat Pps. Kepala BPJS Kesehatan Cabang Bandar Lampung.
"Kayaknya memang dari BPJS ini," tulis @akumow.
Netizen lain dengan nama pengguna @greyvito menyesalkan datanya justru bocor dari lembaga negara. Padahal, secara pribadi dia sudah berusaha menjaga data pribadinya.
"Kerja keras bagai kuda demi beli iPhone, HP mahal yang privacy friendly, ujung-ujungya data pribadi bocor juga tapi sama government (pemerintah) sendiri," ujarnya.[]
Update:
Share:
