Cyberthreat.id – Dalam dua hari terakhir, dunia maya Indonesia dihebohkan dengan kabar penjualan data nasabah asuransi BRI Life. Jumlah basis data yang diklaim oleh penjual mencapai 2 juta.

Kasus penjualan data tersebut menambah deretaan masalah serupa sebelumnya, seperti penjualan data pengguna Tokopedia, Bukalapak, KreditPlus, dan Bhinneka.

Ada yang menarik dari kasus BRI Life, terutama dalam cara pemerintah merespons. Komunikasi publik yang dilakukan oleh Kementerian Komunikasi dan Informatika sebagai penegak hukum Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem Transasksi Elektronik, bisa dikatakan lebih baik ketimbang saat merespons kasus penjualan data peserta BPJS Kesehatan.

Begitu pula dengan BRI Life dalam memberikan keterangan kepada media massa sebagai perwakilan publik. Meski sebagai informasi awal, setidaknya pernyataan resmi mereka masih lebih baik ketimbang yang dilakukan oleh BPJS Kesehatan yang sama sekali tak eksplisit menyikapi insiden siber.

Selain itu, ini yang perlu diperhatikan baik-baik bagi publik, lebih-lebih sebagai nasabah BRI Life, yaitu pernyataan dari Juru Bicara Kemenkominfo Dedy Permadi.

“BRI Life akan segera menyampaikan temuan-temuan hasil pemeriksaan yang dilakukan kepada pihak-pihak terkait sesuai dengan amanat Undang-Undang,” ujar Dedy dalam pernyataan tertulisnya, Rabu (28 Juli 2021) malam.

“Pihak-pihak terkait” memang tak dijelaskan siapa saja yang dimaksud, tapi Kemenkominfo pastilah lembaga yang bakal menerima informasi hasil pemeriksaan, selain penegak hukum.

Dari sini, publik bisa menuntut keterbukaan hasil investigasi tersebut kepada Kemenkominfo  sebagai regulator dan pengawas penyelenggara sistem elektronik (PSE) di Tanah Air. Jangan sampai kasus-kasus seperti ini tiba-tiba menghilang begitu saja, tanpa ada akhir yang jelas.

Berikut ini hal-hal yang mungkin perlu kita ketahui tentang insiden siber BRI Life:

#Apa yang sebenarnya terjadi dengan BRI Life?

Kasus ini bermula dari akun bernama “reckt” yang menawarkan basis data

 yang diklaim sebagai nasabah PT Asuransi BRI Life (BRI Life) pada Selasa (27 Juli 2021) di sebuah forum jual beli data populer. Forum ini juga yang dipakai oleh akun “Kotzt” ketika menawarkan data peserta BPJS Kesehatan Mei lalu.

#Apa saja yang ditawarkan akun “reckt”?

Ia mengklaim memiliki basis data 2 juta nasabah BRI Life dengan ukuran 410 MB dan dokumen-dokumen yang dipindai sebanyak 463.000 berkas dengan ukuran 252 GB.

Sebagai bukti sampel data, ia memberikan berukuran 2,5 GB juga lampiran video yang menunjukkan isi data sampel guna meyakinkan calon pembeli. “Basis data memiliki PIN polis (dienkripsi SHA1), detail lengkap pelanggan asuransi, total manfaat, total periode tahun, dan lain-lain,” tulis reckt.

#Berapa harga data tersebut?

Seluruh data tersebut ditawarkan dengan harga US$7.000 (sekitar Rp101 juta dengan kurs Rp14.492) dalam bentuk Bitcoin. Dokumen juga mencakup, antara lain KTP, KK, NPWP, foto buku rekening, akta kelahiran, akta kematian, surat perjanjian, bukti transfer, bukti keuangan, bukti surat kesehatan, bahkan lengkap dengan polis asuransi jiwa, dan masih banyak lagi.

#Apakah sudah terjual?

Belum ada informasi yang menunjukkan ini. Ini butuh penyelidikan lebih lanjut oleh aparat hukum sejauhmana data bergulir liar.

#Unggahan itu kabarnya menghilang tiba-tiba di forum jual beli data?

Iya benar. Pada Rabu (28 Juli) pagi, unggahan tersebut sudah menghilang. Belum sampai 24 jam usia unggahan penawaran itu di forum, akun “reckt” telah menghapusnya. Banyak spekulasi tentang mengapa begitu cepat dia menghapus tersebut. Ini sesuatu yang jarang terjadi sebelumnya, bila dibandingkan dengan kasus BPJS Kesehatan yang bertahan lama sebelum akhirnya menhilang juga, bahkan akun “Kotz” yang menjualnya pun tidak ada lagi. Sayangnya, kasus ini belum jelas sampai mana penyelidikannya (Baca: BSSN Sebut Ada Anomali di Server BPJS Kesehatan, Penyelidikan Beralih ke Polri)

Langkah penghapusan itu patut diapresiasi. Jika itu dilakukan oleh penegak hukum, artinya mereka bertindak dengan respons cepat sebelum data bergulir liar. Harapannya, tindakan cepat tidak hanya berlaku sekarang, tapi ke depan juga harus serupa itu. Selain itu, mereka harus pula mengungkapkan hasil investigasinya, bukan menutupi seolah-0lah kasusnya selesai begitu saja.

#Oh iya, perusahaan keamanan siber Israel sempat muncul dalam kasus ini…

Nama perusahaan itu Hudson Rock. Menurut catatan Crunchbase, situs web penyedia informasi profil sebuah perusahaan privat dan publik, Hudson Rock baru didirika pada 2020 oleh Alon Gal dan Roi Carthy. Perusahaan ini fokus pada intelijen kejahatan siber, solusi pencegahan serangan ransomware, dan pelanggaran data (data breach).

#Kok bisa mereka mengetahui kasus penjualan data tersebut?

Alon Gal bukanlah orang baru di dunia keamanan siber. Ia sudah seringkali mengungkap temuan-temuan penjualan data pribadi di akun Twitter pribadinya (@UnderTheBreach). Pada Selasa lalu, ia menemukan di forum jual beli data, bahwa akun “reckt” menawarkan data yang diklaim sebagai BRI Life. "Kebocoran besar. Aktor ancaman menjual data sensitif dari BRI Life, sayap asuransi dari Bank Rakyat Indonesia," tulis Alon Gal.

Tidak kali ini saja, Alon Gal mengungkap hal semacam itu. Sebelumnya ia turut mengungkap kebocoran data pemilih pada Pemilu 2014. (Baca: Dua Juta Data Pribadi Warga Indonesia Ditawarkan di Forum Hacker, Dicuri dari KPU).

Ia juga turut membagikan informasi tentang penjualan data pengguna Tokopedia pada Mei 2020 di forum yang sama. (Baca: Wah, 15 Juta Data Pengguna Tokopedia Bocor?)

Selain unggahan Alon Gal, perusahaan keamanan sibernya, Hudson Rock, juga turut membagikan analisis awal. Berupa tangkapan layar dari pelacakan ke domain BRI Life (brilife.co.id) dan Bank BRI (bri.co.id) yang diduga berhasil disusupi oleh peretas.

"Kami mengidentifikasi beberapa komputer karyawan BRI Life dan Bank Rakyat Indonesia yang disusupi mungkin telah membantu peretas mendapatkan akses awal ke perusahaan," kata Hudson Rock.

---

---

#Bagaimana respons awal BRI Life?

Berikut ini empat poin pernyataan awal BRI Life melalui Corporate Secretary BRI Life, Ade Nasution, ketika pemberitaan penjualan data itu muncul ke publik. (1) Perusahaan bekerja denga tim keamanan siber independen melacak insiden tersebut. (2) BRI Life tidak pernah memberikan data pribadi kepada pihak-pihak yang tidak bertanggung jawab. (3) BRI Life menjamin hak pemegang polis sesuai dengan polis yang dimiliki.

Dan, terakhir, (4) BRI Life berkomitmen untuk terus memberikan perlindungan asuransi jiwa bagi sebanyak mungkin masyarakat di Indonesia dan akan terus mengembangkan penerapan prinsip tata kelola perusahaan yang baik sesuai dengan ketentuan yang berlaku.

Pernyataan tersebut cukup membuat kening kita berkerut. Bagaimana mereka menjamin data pribadi nasabahnya, sementara data itu sendiri telah ditawarkan seseorang di forum jual beli data. Anda bisa membaca kisah berikut ini, yaitu seseorang yang bukan nasabah BRI Life, tapi datanya juga turut dijual oleh “reckt”. (Baca: Bukan Nasabah Langsung BRI Life, Pria Ini Membenarkan Datanya Ikut Bocor)

#Hasil investigasi awal menunjukkan adanya peretasan ya?

Iya benar. BRI Life mengakuinya. Perusahaan juga mengatakan, jumlah kebocoran tidak benar dan memastikan data pemegang polis tidak berubah dengan data awal yang ada di sistem.

Sementara, Kemenkominfo juga menegaskan ada celah keamanan di sistem BRI Life, tapi kini telah ditutup akses tersebut.

#Memangnya perusahaan mengklaim jumlahnya berapa?

 Ditemukan bukti bahwa pelaku kejahatan siber melakukan intrusi ke dalam sistem BRI Life Syariah yang merupakan stand alone system (berdiri sendiri, red) dan terpisah dari core system BRI Life, ujar Corporate Secretary BRI Life, Ade Nasution.

Dari sistem itu, katanya, terdapat tidak lebih dari 25.000 pemegang polis syariah individu dan data itu tidak berkaitan dengan data BRI Life dan BRI Group lain.

#Bagaimana serangan itu bisa terjadi?

BRI Life tidak eksplisit atau belum menjelaskan bagaimana serangan dan kapan itu terjadi. Perusahaan tidak menjelaskan kerentanan apa yang dieksploitasi peretas. Atau, apakah seorang karyawan mendapatkan serangan phishing atau hal lain sehingga menjadi vektor peretas menyusup ke sistem yang ditargetkan.

Hanya dikatakan, “Kejadian ini tidak memberikan dampak kepada data nasabah BRI maupun BRI Group lainnya. Tidak ada lateral action (meluas ke sistem lain, red) terhadap portofolio yang lain, karena sistem ini stand alone,” ujar Ade.

#Apa yang sekarang mereka lakukan?

Masih melakukan penyelidikan dan berkoordinasi dengan Otoritas Jasa Keuangan,  Kementerian Kominfo, dan Kepolisian RI. Selain penyelidikan oleh tim internal BRI Life juga dibantu konsultan forensik digital.

Kementerian Kominfo juga meyatakan berkoordinasi dengan Badan Siber dan Sandi Negara dan Polri untuk penanganan lebih lanjut terhadap dugaan kebocoran data pribadi ini.

#Sudah ada notifikasi kepada nasabah BRI Life?

Seharusnya ada pengumuman resmi dari BRI Life kepada nasabah tentang apa yang sedang terjadi dan bagaimana langkah-langkah nasabah dalam menyikapi insiden ini.

Sejauh ini, BRI Life belum memberitahu apakah mereka telah mengirimkan notifikasi adanya insiden siber tersebut kepada para nasabah dan apa saja yang terpengaruh dari peretasan itu.

Perusahaan hanya mengatakan, “BRI Life akan berkoordinasi dengan pemegang polis syariah untuk memastikan layanan kepada pemegang polis tetap dapat dilakukan sesuai dengan manfaat polisnya. Apabila pemegang polis membutuhkan penjelasan lebih lanjut atau membutuhkan bantuan, dapat segera menghubungi layanan resmi,” ujar Ade.[]