Cyberthreat.id – Kepolisian Republik Indonesia menjadwalkan memeriksa lima direktur utama vendor yang melakukan kegiatan di Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan terkait dugaan kebocoran data peserta asuransi kesehatan.
"Rencana kita ambil keterangannya di tanggal 2 Juni," kata Kepala Divisi Humas Polri Irjen Pol Argo Yuwono di Mabes Polri, Jakarta, Senin (31 Mei 2021) seperti dikutip dari Antaranews.com.
Argo menjelaskan, penyelidikan kasus kebocoran data BPJS Kesehatan terus berjalan. Kepolisian telah memeriksa empat orang saksi, yakni dua orang BPJS Kesehatan dan dua orang Badan Siber dan Sandi Negara (BSSN).
Selanjutnya, kata Argo, penyidik Bareskrim Polri Direktorat Tindak Pidana Siber akan memeriksa vendor yang melakukan kegiatan di BPJS Kesehatan.
"Vendor ini yang melakukan kegiatan di BPJS Kesehatan, siapa vendor-vendor tersebut, nanti kan kami mintai keterangannya," kata Argo.
Argo menyebutkan surat pemanggilan terhadap lima direktur utama vendor tersebut telah dikirimkan per 31 Mei 2021.
Ia juga mengatakan, ada lima direktur utama vendor yang ada di Dirjen AHU (Administrasi Hukum Umum) yang akan dimintai keterangannya.
Berita Terkait:
Sejak ramainya dugaan kebocoran data pribadi 279 juta warga negara Indonesia, Bareskrim Polri telah melakukan penyelidikan kasus tersebut dengan meminta klarifikasi sejumlah pihak terkait.
Pada 24 Mei lalu, Bareskrim Polri telah meminta klarifikasi pejabat di BPJS Kesehatan yang menangani penggunaan teknologi informasi di instansi tersebut.
Sebelumnya, seorang pengguna RaidForums bernama Kotz menjual basis data yang berisi informasi pribadi penduduk Indonesia. Data yang dijual mencakup NIK KTP, gaji, nomor ponsel, alamat, dan email.
“Seluruhnya ada 279 juta dan 20 juta di antaranya dilengkapi dengan foto pribadi,” klaim Kotz di forum tersebut, diakses Kamis (20 Mei 2021).
Ia mengunggah data itu dengan judul “SELLING Indonesian full Citizen 200M+ (NIK/KPT/PHONE/NAME/MAI/LADDRESS/),Free 1Million” pada 12 Mei 2021. Data tersebut juga berisi daftar orang-orang yang sudah meninggal.
Untuk meyakinkan pembeli data, ia melampirkan sampel yang berisi 1 juta data yang dapat diakses secara gratis. Ada tiga tautan sampel data yang dapat diunduh oleh pengguna forum tersebut—kini telah diblokir oleh Kemenkominfo.
Sampel data tersebut berisi informasi pribadi dengan struktur PSNOKA, PSNOKALAMA, PSNOKLAMA2, NAMA, NMCETAK, JENKEL (jenis kelamin), AGAMA, dan TMPLHR (tempat lahir).
Kotz mengaku mendapatkan data tersebut dari situs web bpjs-kesehatan.go.id, dan menjual basis data tersebut seharga 0,15 BTC (setara dengan Rp84,3 juta atau sekitar US$6.000).
Baca:
Pencocokan di server BPJS
Sementara, peneliti keamanan siber Vaksin.com, Alfons Tanujaya, meyakini kuat bahwa sampel data yang beredar di RaidForums adalah data peserta BPJS.
Ia mencocokkan sampel data itu melalui fasilitas online yang memang disediakan oleh situs web BPJS Kesehatan, yaitu melalui "Cek Iuran BPJS Kesehatan" atau tautan https://daftar.bpjs-kesehatan.go.id/bpjs-checking/. Analisis terhadap sampel data tersebut dilakukan secara acak. Data yang dicocokkan yaitu nomor BPJS dan tanggal lahir.
Hasil pencocokan yang dilakukan Vaksin.com. | Foto: Kumparan.com
“Cek Iuran BPJS Kesehatan” merupakan laman yang disediakan untuk pengguna BPJS Kesehatan mengecek tagihan dan pembayaran iuran.
Ketika Alfons memasukkan data nomor BPJS, ternyata terdapat kecocokan dengan data yang tersimpan di server BPJS Kesehatan. Namun, alamat tersebut kini telah dinonaktifkan oleh BPJS Kesehatan. "Iya, sekarang sudah dinonaktifkan," ujar Alfons.[]