Cyberthreat.id – Perusahaan keamanan siber Indonesia, Vaksin.com, meyakini kuat bahwa sampel data yang dibagikan gratis oleh penjual data di RaidForums, situs web jual-beli data, adalah data peserta BPJS Kesehatan.

Peneliti keamanan siber Vaksin.com, Alfons Tanujaya, mengklaim telah meneliti sampel data yang dimiliki pengguna RaidForums, Kotz.

Dalam sampel yang bisa diunduh gratis itu, kata dia, memang terdapat 1 juta baris (row) catatan informasi pribadi penduduk Indonesia. "Ketika dicek sesuai dengan data di server BPJS," ujar Alfons kepada Cyberthreat.id, Minggu (23 Mei 2021).

Alfons menyatakan analisis terhadap sampel data dilakukan secara acak. Data yang dicocokkan yaitu nomor BPJS dan tanggal lahir.

Ia mencocokkan sampel data itu melalui fasilitas online yang memang disediakan oleh situs web BPJS Kesehatan, yaitu melalui "Cek Iuran BPJS Kesehatan" atau tautan https://daftar.bpjs-kesehatan.go.id/bpjs-checking/. 

Dalam chat dengan Cyberthreat.id melalui aplikasi Telegram, Kamis (20 Mei) malam, Kotz mengklaim bahwa dirinya mendapat konfigurasi dari basis data di situs web BPJS Kesehatan. "Saya mendapat konfigurasi basis data mereka, lalu saya masuk dengan itu," kata dia.

Cyberthreat.id diberi sampel data yang sama dengan yang ia unggah di RaidForums. Namun, ia enggan membeberkan bagaimana dirinya bisa mendapatkan akses ke basis data itu. "Saya pikir itu tidak fair. Apa maksud Anda?" kata dia. (Baca: Data Pribadi Penduduk Indonesia Dijual di Forum Peretas, Penjual Gratiskan Sejuta Sampel Data).

URL dinonaktifkan

“Cek Iuran BPJS Kesehatan” merupakan laman yang disediakan untuk pengguna BPJS Kesehatan mengecek tagihan dan pembayaran iuran.

Ketika Alfons memasukkan data nomor BPJS, ternyata terdapat kecocokan dengan data yang tersimpan di server BPJS Kesehatan.

Namun, alamat tersebut kini telah dinonaktifkan oleh BPJS Kesehatan. "Iya, sekarang sudah dinonaktifkan," ujar Alfons.

Pantauan Cyberthreat.id, alamat "Cek Iuran BPJS Kesehatan” ketika diklik menampilkan tulisan "HTTP Status 404 - /bpjs-checking/". Dalam deskripsinya tertuliskan bahwa tautan itu tidak tersedia: description The requested resource (/bpjs-checking) is not available.

Cyberthreat.id pun menanyakan terkait penonaktifkan URL tersebut kepada Direktur Utama BPJS Prof Ali Ghufron Mukti. "Kami mengamankan dari kemungkinan mereka yang tidak bertanggung jawab," ujar Ali, Minggu.

Saat ditanyakan kembali apakah ada alternatif lain jika masyarakat ingin memeriksa tagihan dan pembayaran iuran, tetapi Ali belum menanggapinya.

Penghapusan kalimat

Sebelumnya, Kementerian Komunikasi dan Informatika (Kominfo) mengatakan bahwa terdapat 100.002 data diduga kuat identik dengan data BPJS Kesehatan.

Sayangnya, pernyataan itu kemudian dihapus Kominfo dari siaran persnya, Jumat (21 Mei 2021). (Baca: Kominfo Diam-diam Hapus Kalimat  ‘Sampel Data Diduga Kuat Identik BPJS Kesehatan’ di Siaran Persnya)

Alfons juga mengkritik pernyataan Kominfo yang kini telah dihapus tersebut. "Terlalu dini kalau mengklaim data yang bocor 'hanya' 100.000 dari 1 juta. Ini kesannya mau mengecilkan insiden," ujar Alfons.

Menurut Alfons, dari data 279 juta data yang dijual di RaidForums, sangat besar kemungkinannya bahwa di dalam basis data itu terdapat catatan pribadi penduduk Indonesia. "Namun, memang saat ini belum ada pihak yang mendapatkan dan menganalisa (secara menyeluruh, red)," ujarnya.

Alfons berpendapat bahwa yang kebocoran data ini harusnya bukannya malah meributkan jumlah data dan definisi datanya, tapi mencari solusi supaya hal yang terjadi berulang-ulang ini tidak terjadi lagi.

Sebelumnya, kebocoran data juga terjadi dua tahun terakhir yang diduga melibatkan perusahaan internet terkemuka Tanah Air, seperti Tokopedia, Bukalapak, dan Bhinneka.com

"Jangan sibuk membahas detail data, tapi bahas mengapa bocor, apa sebabnya dan bagaimana mencegahnya," ujar Alfons.

"Kominfo kan posisinya pengawas, tidak pada tempatnya pengawas mengeluarkan statement seperti itu. Pengawas harus netral," ia menambahkan.

Menyusul berita dugaan kebocoran data itu, kini Kominfo telah memblokir RaidForums. Tiga tautan yang ditawarkan Kotz untuk mengunduh sampel data juga telah diputus aksesnya. (Baca: Dugaan Kebocoran Data Peserta BPJS Kesehatan, RaidForums Diblokir oleh Kominfo)

Polri berencana memanggil direksi BPJS Kesehatan pada Senin (24 Mei) untuk menanyakan tentang kebenaran informasi data yang ditawarkan di forum peretas itu. Polri juga menyiapkan langkah untuk forensik digital. (Baca: Polri Akan Lakukan Forensik Digital Atas Dugaan Kebocoran Data Peserta BPJS Kesehatan)

Redaktur: Andi Nugroho