Ketua lembaga riset keamanan siber CISSReC, Dr. Pratama Dahlian Persadha. | Foto: cissrec.org
Ketua lembaga riset keamanan siber CISSReC, Dr. Pratama Dahlian Persadha. | Foto: cissrec.org
Cyberthreat.id – Ketua lembaga riset siber CISSReC (Communication & Information System Security Research Center), Pratama Persadha, meyakini kuat bahwa sumber 2 juta data yang diduga nasabah asuransi BRI Life yang dijual di forum jual beli data berasal dari peretasan, bukan jual beli data dari pihak internal atau pegawai.
Keyakinan itu didasarkan pada bukti sampel data yang ditunjukkan oleh penjual dengan akun bernama “reckt” di forum tersebut serta analisis perusahaan keamanan siber Israel, Hudson Rock..
“Bila diperhatikan dari tangkapan layar yang dibagikan Hudson Rock, data jelas diambil karena pembobolan situs. Bisa dilihat bagaimana situs-situs BRI Life disebutkan, bahkan beserta username atau akun login, password dan IP,” tutur Pratama dalam keterangan tertulisnya yang diterima Cyberthreat.id, Rabu (28 Juli 2021).
Dari sampel tersebut, datanya sangat lengkap. Mulai data mutasi rekening, bukti transfer setoran asuransi, KTP, dan KK. Ada juga tangkapan layar perbicangan WhatsApp nasabah dengan pegawai BRI Life, dokumen pendaftaran asuransi, beberapa formulir pernyataan diri dan kesanggupan, bahkan lengkap dengan polis asuransi jiwa.
“Artinya dari klaim Hudson Rock sebagai pihak yang menginformasikan kebocoran maupun pelaku penjual data, kemungkinan besar benar. Bahwa data yang mereka klaim tersebut memang berisi berbagai data dari nasabah BRI Life,” jelasnya.
Terdapat 463.519 file dokumen dengan ukuran mencapai 252 GB dan basis data berisi 2 juta nasabah BRI Life berukuran 410 MB. Untuk sampel sendiri yang diberikan reckt berukuran 2,5 GB. Dua file lengkap tersebut ditawarkan dengan harga US$7.000 (sekitar Rp101 juta) dan dibayarkan dengan Bitcoin.
Oleh karenanya, ia menyarankan agar tim TI segera melakukan forensik digital untuk mengetahui celah keamanan mana yang dipakai untuk menerobos: apakah dari sisi SQL (Structured Query Language) sehingga diekspos dengan SQL Injection atau ada celah keamanan lain.
“Kita tidak ingin kejadian ini berulang, karena itu UU PDP (Perlindungan Data Pribadi) sangat diperlukan kehadirannya, asalkan mempunyai pasal yang benar-benar kuat dan bertujuan mengamankan data masyarakat,” ujar dia.
Menurut Pratama, sebaiknya penguatan sistem dan SDM harus ditingkatkan, adopsi teknologi utamanya untuk pengamanan data juga perlu dilakukan.
Menurut Pratama, Indonesia masih dianggap rawan peretasan karena memang kesadaran keamanan siber masih rendah. Yang terpenting dibutuhkan UU PDP yang isinya tegas dan ketat seperti di eropa. Ini menjadi faktor utama, banyak peretasan besar di Tanah Air yang menyasar pencurian data pribadi.
“Kebocoran data di Indonesia sudah kritis seperti ini seharusnya Pemerintah dan DPR bisa sepakat untuk menggolkan UU PDP. Tanpa UU PDP yang kuat, para pengelola data pribadi baik lembaga negara maupun swasta tidak akan bisa dimintai pertanggungjawaban lebih jauh dan tidak akan bisa memaksa mereka untuk meningkatkan teknologi, SDM dan keamanan sistem informasinya,” jelasnya.
Menghilang
Pada Rabu pagi, unggahan penjualan data oleh akun "reckt" tiba-tiba sudah menghilang. Saat Cyberthreat.id mengecek kembali forum tersebut dan mengetikkan kata kunci “bri life”, hasil penelusuran: nihil. Thread yang dibuat oleh “reckt” sudah tidak ada. Jika unggahan itu masih tersedia, akan muncul thread dengan judul “Indonesia Bank BRI Life Insurance Customer Dabatase (2M+) and Documents (463k).
Berita Terkait:
Sebelumnya, Hudson Rock juga turut mengidentifikasi terkait penjualan data pribadi nasabah BRI Life tersebut. Mereka menduga beberapa komputer karyawan BRI Life dan Bank Rakyat Indonesia (BRI) telah diretas. Peretasan itulah yang kemungkinan berdampak pada bocornya data nasabah BRI Life.
"Kami mengidentifikasi beberapa komputer karyawan BRI Life dan Bank Rakyat Indonesia disusupi yang mungkin telah membantu peretas mendapatkan akses awal ke perusahaan," kata Hudson Rock dalam sebuah pernyataan yang diunggah di Twitter pada Selasa (27 Juli).
Hudson Rock juga menampilkan data hasil pelacakan di domain BRI Life (brilife.co.id) dan Bank BRI (bri.co.id) seperti terlihat di bawah ini.
CTO Hudson Rock, Alon Gal, di akun pribadinya @UnderTheBreach mengatakan data nasabah BRI Life itu dijual di forum peretasan seharga US$7.000 atau setara Rp101 juta. "Kebocoran besar. Aktor ancaman menjual data sensitif dari BRI Life, sayap asuransi dari Bank Rakyat Indonesia," tulis Alon Gal.
Sebagai bukti, penjual data juga mendokumentasikannya dalam bentuk video 30 menit berukuran 250 GB. (Baca: 2 Juta Data Pribadi Diduga Nasabah BRI Life Dijual Seharga US$7.000)
Merespon temuan itu, Direktur Utama BRI Life Iwan Pasila mengatakan pihaknya sedang menyelidiki klaim bahwa data pribadi pelanggannya telah ditawarkan untuk dijual oleh peretas tak dikenal.
"Kami sedang melakukan pengecekan dengan tim dan akan memberikan update segera setelah investigasi selesai," kata Iwan Pasila melalui pesan singkat seperti dilansir Reuters, Selasa.
Sementara, Rabu pagi, Kepala Bagian Humas-CSR BRI Life, Pinky Evianty mengirimkan pernyataan tertulis kepada Cyberthreat.id, seperti di bawah ini:
BRI Life bersama dengan tim independen yang memiliki spesialisasi di bidang cyber security tengah melakukan penelusuran jejak digital dalam rangka investigasi dan melakukan hal-hal yang diperlukan guna meningkatkan perlindungan data pemegang polis BRI Life. Hal tersebut sebagai tindak lanjut atas adanya berita di beberapa social media baru-baru ini.
BRI Life tidak pernah memberikan data pribadi kepada pihak-pihak yang tidak bertanggung jawab. Apabila ada permintaan data pribadi yang mengatasnamakan atau mengkaitkan dengan kepemilikan polis di BRI Life, maka pemegang polis diharapkan dapat menghubungi layanan resmi kami melalui Call Center di Nomor 1500087, WhatsApp Corporate 0811-935-0087 atau email cs@brilife.co.id.
Corporate Secretary BRI Life, Ade Nasution, mengungkapkan BRI Life menjamin hak pemegang polis sesuai dengan polis yang dimiliki. “BRI Life terus melakukan upaya maksimal untuk melindungi data pemegang polis melalui penerapan tata kelola teknologi informasi dan tata kelola data sesuai ketentuan dan standar serta peraturan perundang-undangan yang berlaku,” ujarnya.
“BRI Life berkomitmen untuk terus memberikan perlindungan asuransi jiwa bagi sebanyak mungkin masyarakat di Indonesia dan akan terus mengembangkan penerapan prinsip tata kelola perusahaan yang baik sesuai dengan ketentuan yang berlaku,” ujar Ade.[]
Share:
