Logo BPJS Kesehatan. | Foto: shutterstock.com
Logo BPJS Kesehatan. | Foto: shutterstock.com
Cyberthreat.id – Badan Siber dan Sandi Negara (BSSN) menyatakan saat ini penanganan dugaan kasus kebocoran data 279 juta peserta BPJS Kesehatan ditangani oleh Kepolisian Republik Indonesia (Polri).
BSSN mengatakan, lembaganya telah menyelesaikan audit forensik terhadap log (catatan) tiga server yang dicurigai menjadi biang kebocoran data. (Baca: BSSN Curigai 3 Server BPJS Kesehatan Terkena Dampak Kebocoran Data)
“Sejak beberapa waktu yang lalu, proses penyelidikan sudah dilakukan sepenuhnya oleh teman-teman di Polri. Hasil sementara yang bisa kami capai sudah disampaikan ke pihak BPJS (Kesehatan),” ujar Juru Bicara BSSN Anton Setiawan ketika dikontak Cyberthreat.id, Kamis (8 Juli 2021).
Anton enggan menjelaskan secara mendetail “hasil sementara” yang telah dilakukan oleh BSSN. Ia hanya mengatakan bahwa tim audit lembaganya menemukan “anomali aktivitas”.
“Beberapa anomali aktivitas yang seharusnya tidak terjadi pada level server, ini berdasar log (server) dan diperlukan konfirmasi dari BPJS,” Anton menjelaskan.
Anton tak menanggapi pertanyaan lagi tentang bentuk-bentuk anomali aktivitas tersebut: apakah malware atau lainnya. Ia juga enggan membalas ketika ditanya melalui kerentanan apa sehingga penyerang bisa menyusup ke server BPSJ Kesehatan.
Sejauh ini, BPJS Kesehatan tidak pernah memberikan pembaruan informasi terkait kasus kebocoran data ini. Anton juga tak mau menjawab mengapa pemerintah tak menyediakan pembaruan informasi penanganan.
Budaya tertutup terhadap insiden siber memang lazim terjadi di Indonesia. Anton sendiri mengakui kondisi ini sebelumnya. Awal Juni lalu, ia mengatakan, masih ada pemahaman yang berkembang di Indonesia bahwa insiden siber adalah aib dan merusak langsung reputasi organisasi.
Menurut dia, budaya yang masih terjadi di Indonesia, insiden siber mirip halnya istilah “recall” dalam industri otomatif yang masih dinilai buruk. (Baca: Kebocoran Data dan Budaya Bungkam)
“Padahal, di negara lain, [insiden siber] ini adalah bentuk pertanggungjawaban produsen kepada konsumen,” ujar Anton kepada Cyberthreat.id ketika ditanya tentang entitas publik dan swasta yang masih tertutup saat terjadi insiden siber.
Anton mengatakan, BSSN selama ini sudah menjelaskan dalam berbagai forum kepada instansi-instansi, terutama penyelenggara sistem elektronik (PSE) terkait insiden siber. “Bahwa insiden siber adalah sesuatu yang harus dikelola dan transparansi merupakan bentuk akuntabilitas publik,” ujar Anton.
Kondisi di Indonesia jauh tertinggal dengan ekosistem keamanan siber di AS dan Eropa, atau di tingkat ASEAN masih di belakang Singapura.
Indonesia harus belajar dari kasus peretasan perangkat lunak Kaseya VSA yang baru-baru ini terjadi. Kasus Kaseya ini disamakan dengan serangan rantai pasokan SolarWinds pada Desember 2020 dan mempengaruhi 1.500 bisnis di dunia. Pada saat Kaseya mendeteksi peretasan ransomware, mereka langsung mengumumkan insiden di situs web help desk-nya.
Bahkan, hingga hari ini, Kaseya meng-update penanganan dan rekomendasi yang perlu dilakukan kepada pelanggannya, termasuk peringatan beredarnya email palsu tentang pembaruan perangkat lunak Kaseya VSA.
Berita Terkait:
Penawaran data yang diklaim sebagai peserta BPJS Kesehatan di situs web jual beli data, RaidForums. Penjual juga melampirkan sampel data hingga 1 juta data.
Sebelumnya, seorang pengguna RaidForums bernama Kotz menjual basis data yang berisi informasi pribadi penduduk Indonesia. Data yang dijual mencakup NIK KTP, gaji, nomor ponsel, alamat, dan email.
“Seluruhnya ada 279 juta dan 20 juta di antaranya dilengkapi dengan foto pribadi,” klaim Kotz di forum tersebut, diakses Kamis (20 Mei 2021).
Ia mengunggah data itu dengan judul “SELLING Indonesian full Citizen 200M+ (NIK/KPT/PHONE/NAME/MAI/LADDRESS/),Free 1Million” pada 12 Mei 2021. Data tersebut juga berisi daftar orang-orang yang sudah meninggal.
Untuk meyakinkan pembeli data, ia melampirkan sampel yang berisi 1 juta data yang dapat diakses secara gratis. Ada tiga tautan sampel data yang dapat diunduh oleh pengguna forum tersebut—kini telah diblokir oleh Kemenkominfo.
Sampel data tersebut berisi informasi pribadi dengan struktur PSNOKA, PSNOKALAMA, PSNOKLAMA2, NAMA, NMCETAK, JENKEL (jenis kelamin), AGAMA, dan TMPLHR (tempat lahir).
Kotz mengaku mendapatkan data tersebut dari situs web bpjs-kesehatan.go.id, dan menjual basis data tersebut seharga 0,15 BTC (setara dengan Rp84,3 juta atau sekitar US$6.000).
Baca:
Pencocokan di server BPJS
Sementara, peneliti keamanan siber Vaksin.com, Alfons Tanujaya, meyakini kuat bahwa sampel data yang beredar di RaidForums adalah data peserta BPJS.
Ia mencocokkan sampel data itu melalui fasilitas online yang memang disediakan oleh situs web BPJS Kesehatan, yaitu melalui "Cek Iuran BPJS Kesehatan" atau tautan https://daftar.bpjs-kesehatan.go.id/bpjs-checking/. Analisis terhadap sampel data tersebut dilakukan secara acak. Data yang dicocokkan yaitu nomor BPJS dan tanggal lahir.
Hasil pencocokan yang dilakukan Vaksin.com. | Foto: Kumparan.com
“Cek Iuran BPJS Kesehatan” merupakan laman yang disediakan untuk pengguna BPJS Kesehatan mengecek tagihan dan pembayaran iuran.
Ketika Alfons memasukkan data nomor BPJS, ternyata terdapat kecocokan dengan data yang tersimpan di server BPJS Kesehatan. Namun, alamat tersebut kini telah dinonaktifkan oleh BPJS Kesehatan.[]
Share:
