Cyberthreat.id – Komisi Perlindungan Anak Indonesia (KPAI) mengakui bahwa lembaganya mengalami pelanggaran data.

Komisi menyebutkan telah mengetahui insiden siber pada 18 Oktober 2021 dan saat itu langsung membuat laporan ke Direktorat Tindak Pidana Siber Bareskrim Mabes Polri.

Dalam pernyataan kepada pers, Kamis (21 Oktober) malam, Ketua KPAI Susanto menyebut kejadian tersebut sebagai “pencurian database”.

Ia sama sekali tak menjelaskan tentang data apa yang dicuri, bagaimana pencurian terjadi, dan bagaimana dampaknya.

Ia hanya mengatakan KPAI telah melaporkan insiden tersebut pada Badan Siber dan Sandi Negara (BSSN) pada 19 Oktober dan menyurati Menteri Komunikasi dan Informatika pada 21 Oktober.

“Direktorat Siber Mabes Polri dan BSSN telah berkoordinasi dengan KPAI untuk langkah-langkah selanjutnya dan KPAI telah melakukan mitigasi untuk menjaga keamanan data,” kata Susanto.

Susanto juga menegaskan bahwa kasus “pencurian data” ini tidak menggangu layanan pengaduan KPAI. “Layanan tetap berjalan dan aman,” ujarnya.

Dua kumpulan basis data yang diklaim milik KPAI ditawarkan di forum jual beli data, Raid Forums. Basis data tersebut diunggah oleh akun C77 pada 13 Oktober 2021 dengan tajuk “Leaked Database KPAI (kpai.go.id)”.

C77 memberikan sampel data untuk menarik pembeli. Untuk mengunduh dua kumpulan basis data yang masing-masing berukuran 12,4 MB dan 24,5 MB tersebut, pembeli harus memiliki saldo “16 credits”.

Jika dilihat dari sampel data yang dibagikan, basis data disusun dalam bentuk tabel dalam format file .csv yang berisi, antara lain identitas, nama, nomor identitas/KTP, kewarganegaraan, telepon, HP, agama, pekerjaan, pendidikan, alamat, email, tempat tanggal lahir, jenis kelamin, provinsi, kota, dan usia.

Meski sebagian kecil di antaranya tidak terisi lengkap, mayoritas data sangat lengkap, termasuk alamat rumah, nomor ponsel, email, dan NIK KTP.

Data-data seperti itu sangat rentan dieksploitasi oleh penjahat siber, di antaranya dipakai untuk serangan email phishing, penipuan online, atau pendaftaran layanan online, dan lain-lain..

Kemungkinan besar basis data tersebut berasal dari pelaporan masalah kekerasan atau pelecehan terhadap anak dari berbagai daerah oleh masyarakat kepada KPAI. Cyberthreat.id mendapati teks yang menunjukkan dialog pelecehan anak perempuan dari seorang laki-laki dewasa.

Di portal KPAI memang terdapat kolom pengaduan online. Daftar isian dari kolom pengaduan tersebut serupa dengan kolom tabel yang dibocorkan di forum jual beli data tersebut.

Komisioner KPAI Jasra Putra kepada Antaranews.com, Kamis, mengatakan bahwa basis data yang bocor diduga berasal dari layanan pengaduan online dari situs web KPAI.

“Kami punya sistem pengaduan online berbasis situs web kpai.go.id, diduga data ini yang diretas,” ujarnya.

Sejak Selasa lalu, Cyberthreat.id terus berupaya mengontak KPAI untuk mengonfirmasi insiden tersebut. Namun, komisioner KPAI menolak untuk berbicara. Sumber di internal KPAI mengatakan bahwa sesuai dengan rapat pleno penjelasan atau keterangan untuk publik atas kasus ini hanya melalui “satu pintu”. “Juru bicaranya ketua KPAI,” ujar sumber tersebut.

Sementara, Juru Bicara BSSN Anton Setiawan mengatakan, lembaganya sedang berkoordinasi dengan KPAI untuk menyelidiki pelanggaran data tersebut.

Anton mengatakan bahwa memang terjadi indikasi kebocoran data. “Indikasi kebocoran data diduga karena adanya kebocoran akun yang digunakan untuk melakukan pengelolaan server tersebut,” ujar Anton kepada Cyberthreat.id, Jumat (22 Oktober) pagi.

Ketika ditanya bagaimana bisa akun tersebut bocor: apakah kelalaian petugas atau jebakan phishing? Anton menjawab singkat. “Ini yang kami belum tahu, masih didalami,” ujarnya.

Sekadar diketahui, pencurian kredensial akun online bisa didapat penjahat siber melalui serangan email phishing, rekayasa sosial, atau infeksi perangkat lunak jahat pencuri cookies. Atau, bisa pula kebocoran kredensial melalui orang dalam (insider threat). Serangan email phishing memang cenderung dominan dipakai penjahat siber, biasanya penyerang berpura-pura sebagai seseorang atau lembaga tertentu, lalu mengarahkan target ke situs web lain untuk mengisi daftar isian (username dan password) yang sebetulnya dikirim ke server penyerang.

Anton juga menjawab apa yang bakal direkomendasikan kepada KPAI. Salah satunya ialah meminta KPAI memberitahu kepada pemilik data yang terkena dampak.

“Itu bagian dari kewajiban yang harus dilakukan [oleh KPAI, red],” ujar Anton.

Ia juga menyarankan kepada pemilik data yang terkena dampak untuk “meningkatkan kewaspadaan” dan “laporkan ke pihak berwenang  jika menemukan hal-hal yang mencurigakan. “Hati-hati dalam berinteraksi di ruang siber,” katanya.[]