Cyberthreat.id – Tim Badan Siber dan Sandi Negara (BSSN) saat ini masih menyelidiki dugaan kebocoran data yang diduga data peserta BPJS Kesehatan.

Juru Bicara BSSN, Anton Setiyawan, kepada Cyberthreat.id, Minggu (23 Mei 2020), mengatakan bahwa tim BSSN dan BPJS sedang bersama-sama memverifikasi sampel data yang dijual di forum jual beli data, RaidForums.

Menurut Anton, ada tiga hal yang saat ini sedang dilakukan oleh kedua tim.

Pertama, tim masih terus melakukan penanganan secara sistem jaringan guna meyakinkan, bahwa “Pelaku tidak menanam backdoor (pintu belakang) sehingga [mereka] tetap memiliki akses ke sistem,” ujar Anton.

“Pintu belakang” ialah istilah yang merujuk pada perangkat lunak yang dibuat programmer untuk mengakses sistem, aplikasi, atau jaringan tanpa proses autentikasi. Sederhananya,  ini sebuah jalan masuk mengakses sistem atau jaringan. Pintu belakang sebetulnya perangkat lunak biasa bagi programmer, tapi kemudian dijadikan celah atau disalahgunakan oleh peretas untuk mengambil alih akses sistem secara paksa.

Kedua, tim juga sedang memastikan  data yang dieksfiltrasi oleh pelaku dan sistem elektronik lain yang mungkin terkena dampak.

Lalu, ketiga, “Melakukan atribusi pelaku untuk keperluan penegakan hukum,” Anton menambahkan.

Sejauh ini, tim BSSN juga sudah memberikan sejumlah rekomendasi untuk mitigas siber dari insiden tersebut.

Sampai kapan investigasi berlangsung? Anton tak bisa memastikan karena tim masih bekerja. Namun, Anton membenarkan bahwa ini kali pertama di Indonesia dugaan insiden kebocoran data yang menimpa penyelenggara sistem elektronik (PSE) publik “terkonfirmasi”.

“Terkonfirmasi” tersebut setidaknya merujuk pada hasil investigasi Kementerian Kominfo yang menemukan sampel data itu “diduga kuat identik dengan data BPJS Kesehatan”. Namun, hanya 100.002 data yang menurut Kominfo identik.

Pernyataan tersebut dikeluarkan resmi melalui siaran pers kementerian pada Jumat (21 Mei), tapi Cyberthreat.id mendapati pada Minggu (23 Mei), di situs web Kemenkominfo, pernyataan tersebut telah dicoret. Tidak jelas mengapa kementerian mencoret pernyataan tersebut setelah dikeluarkan ke publik. Sejauh ini belum ada klarifikasi kementerian tentang hal ini. (Baca: Kominfo Diam-diam Hapus Kalimat ‘Sampel Data Diduga Kuat Identik BPJS Kesehatan’ di Siaran Persnya)

Sebelumnya, seorang pengguna RaidForums bernama Kotz menjual basis data yang berisi informasi pribadi penduduk Indonesia. Data yang dijual mencakup NIK KTP, gaji, nomor ponsel, alamat, dan email.

“Seluruhnya ada 279 juta dan 20 juta di antaranya dilengkapi dengan foto pribadi,” klaim Kotz di forum tersebut, diakses Kamis (20 Mei 2021).

Ia mengunggah data itu dengan judul “SELLING Indonesian full Citizen 200M+ (NIK/KPT/PHONE/NAME/MAI/LADDRESS/),Free 1Million” pada 12 Mei 2021. Data tersebut juga berisi daftar orang-orang yang sudah meninggal.

Untuk meyakinkan pembeli data, ia melampirkan sampel yang berisi 1 juta data yang dapat diakses secara gratis. Ada tiga tautan sampel data yang dapat diunduh oleh pengguna forum tersebut—kini telah diblokir oleh Kemenkominfo. (Baca: Dugaan Kebocoran Data Peserta BPJS Kesehatan, RaidForums Diblokir oleh Kominfo)

Sampel data tersebut berisi informasi pribadi dengan struktur PSNOKA, PSNOKALAMA, PSNOKLAMA2, NAMA, NMCETAK, JENKEL (jenis kelamin), AGAMA, dan TMPLHR (tempat lahir).

Kotz mengaku mendapatkan data tersebut dari situs web bpjs-kesehatan.go.id, dan akan menjual basis data tersebut seharga 0,15 BTC (setara dengan Rp84,3 juta atau sekitar US$6.000).

Pencocokan di server BPJS

Sementara, peneliti keamanan siber Vaksin.com, Alfons Tanujaya, meyakini kuat bahwa sampel data yang beredar di RaidForums adalah data peserta BPJS. (Baca: Vaksin.com Yakini Data yang Dijual di RaidForums ialah Data Peserta BPJS Kesehatan)

Ia mencocokkan sampel data itu melalui fasilitas online yang memang disediakan oleh situs web BPJS Kesehatan, yaitu melalui "Cek Iuran BPJS Kesehatan" atau tautan https://daftar.bpjs-kesehatan.go.id/bpjs-checking/. Analisis terhadap sampel data tersebut dilakukan secara acak. Data yang dicocokkan yaitu nomor BPJS dan tanggal lahir.

“Cek Iuran BPJS Kesehatan” merupakan laman yang disediakan untuk pengguna BPJS Kesehatan mengecek tagihan dan pembayaran iuran.

Ketika Alfons memasukkan data nomor BPJS, ternyata terdapat kecocokan dengan data yang tersimpan di server BPJS Kesehatan.

Namun, alamat tersebut kini telah dinonaktifkan oleh BPJS Kesehatan. "Iya, sekarang sudah dinonaktifkan," ujar Alfons.

Pantauan Cyberthreat.id, tautan itu ketika diklik menampilkan tulisan "HTTP Status 404 - /bpjs-checking/". Dalam deskripsinya tertuliskan bahwa tautan itu tidak tersedia: description The requested resource (/bpjs-checking) is not available.

Cyberthreat.id pun menanyakan terkait penonaktifkan URL tersebut kepada Direktur Utama BPJS Prof Ali Ghufron Mukti. "Kami mengamankan dari kemungkinan mereka yang tidak bertanggungjawab," ujar Ali, Minggu.

Polri berencana memanggil direksi BPJS Kesehatan pada Senin (24 Mei) untuk menanyakan tentang kebenaran informasi data yang ditawarkan di forum peretas itu. Polri juga menyiapkan langkah untuk forensik digital.[] (Baca: Polri Akan Lakukan Forensik Digital Atas Dugaan Kebocoran Data Peserta BPJS Kesehatan)