Cyberthreat.id – Juru Bicara Kementerian Komunikasi dan Informatika RI, Dedy Permadi, mengatakan, tim Kominfo telah melakukan investigasi terhadap dugaan data 279 juta milik BPJS Kesehatan sejak Kamis (20 Mei 2021).

Hasil investigasi menemukan bahwa akun Kotz yang mengunggah sampel data di forum peretas, RaidForums, adalah seorang pembeli dan penjual data pribadi (reseller).

“Data sampel yang ditemukan tidak berjumlah 1 juta seperti klaim penjual, namun berjumlah 100.002 data,” kata Dedy dalam pernyataan resminya diterima Cyberthreat.id, Jumat (21 Mei 2021).

“Kominfo menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan,” ia menambahkan.

---

Berita Terkait:

• Ini Indikasi Data 279 Juta Warga RI yang Bocor Berasal dari BPJS, Ada Nama Pejabatnya

---

Menurut Dedy, simpulan tim investigasi tersebut didasarkan pada data Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status Pembayaran yang identik dengan data BPJS Kesehatan.

Selanjutnya, Kementerian Kominfo telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut.

“Terdapat 3 tautan yang terindetifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com. Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown (diblokir), sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera,” ujar Dedy.

Selain itu, Dedy juga menjelaskan bahwa pada Jumat siang ini Kementerian Kominfo melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam sesuai amanat PP Nomor 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE).

Sesuai PP PSTE dan Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, PSE (Penyelenggara Sistem Elektronik) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi, “Wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain,” ujar dia.

Selain itu, Dedy menambahkan, PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, dalam hal diketahui bahwa terjadi kegagalan perlindungan data pribadi.

---

Baca:

• Data 279 Juta Warga RI Dijual di Forum Peretas, Dirjen Zudan: Struktur Datanya Berbeda dengan Dukcapil
• BPJS Diduga Jadi Pintu Kebocoran Data 279 Juta Warga RI, Begini Respon Humasnya

---

Berikut ini pernyataan resmi yang dikeluarkan BPJS Kesehatan pada Kamis (20 Mei 2021) malam menanggapi beredarnya data yang diduga milik lembaga asuransi tersebut.

---

Diberitakan sebelumnya, seorang pengguna RaidForums bernama Kotz menjual basis data yang berisi informasi pribadi penduduk Indonesia. Data yang dijual mencakup NIK KTP, gaji, nomor ponsel, alamat, dan email.

“Seluruhnya ada 279 juta dan 20 juta di antaranya dilengkapi dengan foto pribadi,” klaim Kotz di forum tersebut, diakses Kamis (20 Mei 2021). Ia mengunggah data itu dengan judul “SELLING Indonesian full Citizen 200M+ (NIK/KPT/PHONE/NAME/MAI/LADDRESS/),Free 1Million” pada 12 Mei 2021.

Ia mengklaim data tersebut juga berisi daftar orang-orang yang sudah meninggal.

Untuk meyakinkan pembeli data, ia melampirkan sampel yang berisi 1 juta data yang dapat diakses secara gratis. Ada tiga tautan sampel data yang dapat diunduh oleh pengguna forum tersebut.

Sampel data tersebut berisi informasi pribadi dengan struktur PSNOKA, PSNOKALAMA, PSNOKLAMA2, NAMA, NMCETAK, JENKEL (jenis kelamin), AGAMA, dan TMPLHR (tempat lahir).

Bahkan, kotz juga melampirkan informasi gaji yang dibagi dalam dua folder.

Kotz mengaku mendapatkan data tersebut dari situs web bpjs-kesehatan.go.id, dan akan menjual basis data tersebut seharga 0,15 BTC (setara dengan Rp84,3 juta atau sekitar US$6.000).

Dalam chat dengan Cyberthreat.id melalui aplikasi Telegram, Kamis malam, Kotz mengklaim bahwa dirinya mendapat konfigurasi dari basis data di situs web BPJS Kesehatan. "Saya mendapat konfigurasi basis data mereka, lalu saya masuk dengan itu," kata dia.

Cyberthreat.id diberi sampel data yang sama dengan yang ia unggah di RaidForums. Namun, ia enggan membeberkan bagaimana dirinya bisa mendapatkan akses ke basis data itu. "Saya pikir itu tidak fair. Apa maksud Anda?" kata dia. (Baca: Data Pribadi Penduduk Indonesia Dijual di Forum Peretas, Penjual Gratiskan Sejuta Sampel Data).[]