Penjualan data pribadi yang diduga berisi warga Kabupaten Malang, Jawa Timur. | Foto: Tangkapan layar Cyberthreat.id/Andi Nugroho
Penjualan data pribadi yang diduga berisi warga Kabupaten Malang, Jawa Timur. | Foto: Tangkapan layar Cyberthreat.id/Andi Nugroho
Cyberthreat.id – Masalah kebocoran data kembali terjadi. Setelah dugaan bocornya data peserta BPJS Kesehatan, kini giliran data pribadi yang diklaim warga Kabupaten Malang, Jawa Timur dijual di situs web jual beli data, RaidForums.
Data itu diunggah pada 31 Mei 2021 pada pukul 02.03 WIB oleh penjual dengan nama akun GadiZ. “Sell-Malangkab.go.id (Citizen Data & Email-Pass),” tulis si penjual.
Penjual yang baru bergabung di RaidForums sejak Februari lalu itu mencantumkan judul basis data “BIODATAWNI” dengan jumlah yang diklaimnya mencapai 3.165.815.
Ia mencantumkan dua tangkapan layar puluhan sampel data. Tangkapan layar pertama berjudul “SAMPLE Citizen” tercantum data dengan format NIK, NAMA_LNGKP, TMPT_LAHIR, TGL_LHR, JENIS_KELMIN, GOL_DRH, AGAMA,PDDK_AKH, JENIS_PKRJN,PNYDNG_CCT, STAT_KWN, STAT_HBKEL, dan NIK IBU.
Semua sampel data itu dibiarkan telanjang tanpa dienkripsi sehingga terlihat jelas semua informasi data pribadinya.
Dari tangkapan layar sampel data ini terlihat jika kode NIK 35.07 menunjukkan wilayah Kabupaten Malang, Jawa Timur. Jika melihat kodenya, diduga kuat mereka adalah warga Kecamatan Donomulyo.
Lalu, pada tangkapan layar sampel data kedua berjudul “SAMPLE EMAIL-PASS”, terdiri atas: nik,no_kk, nama, foto, telp, email, dan password.
Dari semua kolom tersebut, kolom “foto” kosong, sedangkan kolom “password” dalam kondisi disamarkan (dienkripsi) sehingga tak bisa dibaca. Selebihnya dalam kondisi sangat jelas dibaca.
Dari tangkapan layar sampel data ini tampaknya kolom NIK dan kolom No KK tertukar. Sebab, kode NIK Kabupaten Malang adalah 35.07, bukan diawali dengan kode angka 11.01 atau 12.01
Penjual juga menambahkan sampel gratis berupa biodata WNI bayi sebanyak 16.920 dengan tautan diarahkan ke http://sipeduli.malangkab.go.id/BIODATA_WNI_BAYI.csv.
Namun, ketika saya mengkliknya, alamat tersebut tak bisa diakses. Laman web menunjukkan gambar sebagai berikut:
Saya mencoba melacak nomor-nomor seluler yang disediakan dalam basis data tersebut. Beberapa nomor seluler yang saya periksa melalui aplikasi Getcontact menunjukkan ada kemiripan antara nama warga dengan nama yang disimpan atas nomor seluler tersebut.
Misal atas nama “Sabrina Salsadira” dengan nomor seluler 08579166xxx. Hasil pencarian Getcontact menemukan sebanyak 35 tag atas nomor tersebut, seperti digambar berikut ini.
Lalu, atas nama “Chandra Saputra” dengan nomor seluler 08589029xxx. Hasil pencarian menunjukkan sebanyak 70 tag, seperti gambar berikut ini.
Atas nama “Fahrul Rozi” dengan nomor seluler 08133341xxx, ternyata merujuk pada nama seseorang anggota militer di Kostrad. Hasil temuan terdapat 23 tag.
Dan, satu nomor seluler yang dicek berikut ini menguatkan bahwa nama-nama yang disebutkan dalam basis data itu diduga kuat warga Kabupaten Malang.
Dalam pencarian atas nama “Roni Hendarto” dengan nomor 08137004xxx menghasilkan 39 tag yang merujuk pada kemiripan nama tersebut. Bahkan, dalam hasil temuan itu ada seseorang yang menyimpan nomor Roni dengan nama “Kepanjen”. Di Kabupaten Malang memang terdapat sebuah wilayah yang bernama “Kepanjen” dan kebetulan wilayah ini sebagai ibu kota Kabupaten Malang.
Meski ada banyak nomor yang memiliki kemiripan, ada juga nomor-nomor lain yang diperiksa tak sesuai dengan pemilik nama. Pemeriksaan nomor-nomor tersebut bukan berarti basis data itu valid 100 persen, tapi ada dugaan kemiripan. Masih perlu pemeriksaan lanjutan yang dalam hal ini perlu dilakukan oleh Dinas Dukcapil Kabupaten Malang terhadap nama-nama yang disebutkan dalam sampel tersebut.
Jawaban si penjual
Saya mengontak GadiZ, nama akun si penjual, melalui aplikasi Telegram dan mengonfirmasi benarkah basis data yang dimilikinya berasal dari aplikasi berbasis web sipeduli.malangkab.go.id? Jawabannya, iya.
Namun, ia mengatakan bahwa data-data tersebut didapatkan dirinya sendiri bukan membeli dari orang lain. “Tangan pertama, fresh leaks,” ujar dia.
Penegasan terkait hubungan data yang dijual dengan aplikasi Si Peduli.
Mengapa saya bertanya layanan Si Peduli? Karena GadiZ mencantumkan sampel data bayi di thread jualannya.
Di situs web Dukcapil Kabupaten Malang disebutkan bahwa Si Peduli memiliki kepanjangan “Sistem Pelayanan Administrasi Kependudukan Online”. Aplikasi ini dibangun berbasis web dengan tujuan untuk pengurusan dokumen kependudukan.
Untuk mengurus dokumen kependuduk melalui Si Peduli, warga harus melakukan pendaftaran akun terlebh dahulu. Saat mendaftar inilah, warga dimintai NIK, Nomor KK, email, dan kata sandi. Pendek kata, aplikasi tersebut meminta informasi data pribadi warga yang ingin mengajukan pelayanan kependudukan.
Ketika saya mengecek situs web Si Peduli, ternyata tak bisa diakses. Halaman web menunjukkan sebagai berikut ini.
Lantas saya bertanya kepada GadiZ, barangkali ia tahu sejak kapan aplikasi itu tak bisa diakses. Dia menjawab tidak tahu. “Mungkin maintenance for security reason,” ujarnya diplomatis.
Berapa harga data?
Saya tanya berapa harga data yang ditawarkan dengan basis data sebanyak 3 juta itu. Ia mengatakan tidak memasang tarif. “Tergantung penawaran pembeli, tak mematok harga,” kata dia.
Alasan dia menjual data adalah, “Only for business,” katanya. Selain itu, ia bilang aktivitas ini juga sekadar untuk senang-senang—“Just for fun only, hahaha,” ia menertawai saya.
Jika melihat bahasa yang dipakai si penjual dalam beberapa kali chat, saya menduga kuat dia berasal dari Indonesia. | Foto-foto: Arsip Cyberthreat.id
Tampilan Si Peduli di halaman pencarian Google.
Tanggapan Dukcapil Kabupaten Malang
Dalam sambungan telepon dengan saya, Rabu (2 Juni 2021) pagi, Plt Kepala Dinas Dukcapil Kabupaten Malang, Sirath Aziez, mengaku belum mengetahui kabar bahwa ada data pribadi yang diklaim sebagai warga Kabupaten Malang dijual di RaidForums.
Ia sendiri sempat bertanya apa itu RaidForums. Dan, saya jelaskan, bahwa itu adalah situs web jual beli data yang sempat ramai disinggung dalam berita dugaan kebocoran data BPJS Kesehatan tempo hari.
Ia menjelaskan aplikasi Si Peduli tak menyimpan data warga. “Itu cuman aplikasi pengajuan pelayanan, jadi enggak ada data. Kayak sampean (Anda), mengajukan pelayanan untuk perubahan Kartu Keluarga. Nah, itu upload-nya melalui Si Peduli,” ujar Sirath.
“Di situ enggak ada data, kecuali data pemohon untuk pengajuan pelayanan,” ia menambahkan.
Namun, ia mengonfirmasi bahwa saat pengajuan layanan, warga memang diminta membuat akun Si Peduli terlebih dulu, lalu diperlukan NIK dan Nomor KK. Saat membuat akun itu, pengguna juga diminta mencantumkan email.
Ketika dikonfirmasi bahwa situs web Si Peduli tak bisa diakses, ia menampiknya. “Masa sih, lah ini Si Peduli ini jalan kok di kantor,” kata dia.
Sirath juga bercerita bahwa sejauh yang dirinya tahu belum pernah ada serangan siber yang menargetkan situs web Dukcapil. “Enggak pernah ada,” katanya.
Saya pun mengonfirmasi kepada GadiZ terkati dengan bantahan Dukcapil Kabupaten Malang atas data yang dimiliknya. “Hahaha pemerintah memang seperti itu, selalu alibi untuk kepentingan diri sendiri,” ujar dia.[]
Share:
