Cyberthreat.id – Kasus kebocoran data terus berulang di Indonesia. Tak hanya menimpa perusahaan swasta, tapi juga dialami oleh lembaga pemerintah.

Hingga kini, penyelesaiaan berbagai kasus kebocoran data pribadi ini masih belum jelas. Bahkan, pemerintah dan pengendali data tidak memberitahukan temuan-temuan dari penyelidikan yang dilakukan terkait dengan kebocoran data tersebut. (Baca: Pemerintah Harus Informasikan Perkembangan Kasus Sampai Selesai)

Hal tersebut makin diperparah dengan belum disahkannya Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP), yang membuat kasus kebocoran data pribadi tidak ditangani dengan serius oleh pemerintah dan pengendali data.

Padahal, UU PDP dapat memberi kepastian hukum dan perlindungan bagi masyarakat selaku pemilik data.

Berikut ini beberapa kasus kebocoran data pribadi yang terjadi di Indonesia yang berhasil dikumpulkan Cyberthreat.id.

BUKALAPAK

Pada 2019, seorang peretas asal Pakistan dengan nama alias “Gnosticplayers” mengklaim meretas basis data yang berisi 13 juta data milik pengguna Bukalapak dan menjualnya di dark web. Data tersebut berisi informasi seperti email, nomor telepon, serta tanggal lahir pengguna.

Setelah kasus kebocoran data ini mencuat, Bukalapak menyelidiki secara internal dan mengakui adanya kebocoran data. Namun, Bukalapak mengklaim kebocoran data ini tidak berdampak pada informasi sensitif seperti nama pengguna, alamat, dan informasi keuangan.

TOKOPEDIA

Pada awal Mei 2020, Tokopedia mengalami peretasan yang berdampak pada data milik 91 juta pengguna Tokopedia. Laporan peretasan dan kebocoran data ini pertama kali diungkap oleh oleh Under the Breach, perusahaan keamanan siber asal Israel. Temuan itu berdasarkan unggahan hacker yang membagikan basis data 15 juta pengguna Tokopedia di forum internet, RaidForums.

Tak lama setelah kejadian tersebut terungkap, Tokopedia memberi notifikasi pada semua pengguna mereka sambil memulai penyelidikan dan memastikan akun dan informasi keuangan pengguna tidak terdampak peretasan ini.

Kasus kebocoran data ini langsung diselidiki oleh Kementerian Komunikasi dan Informatika. Setelah melalui proses panjang akhirnya Tokopedia diberikan sanksi tertulis oleh Kemkominfo.

BHINNEKA.COM

Tak lama setelah kasus kebocoran Tokopedia terungkap, pada Mei 2020, sebanyak 1,2 juta data pribadi konsumen Bhinneka.com dijual bersamaan dengan data pengguna 9 perusahaan lain di RaidForums seharga US$ 1.200 atau setara Rp18 juta oleh peretas bernama ShinyHunters.

Menanggapi kabar itu, Bhinneka.com tidak membenarkan secara tegas adanya kebocoran data di server mereka. Mereka hanya mengatakan password pengguna aman karena dilindungi enkripsi. Sedangkan untuk informasi keuangan pengguna, mereka tidak menyimpannya sama sekali.

Setelah kasus kebocoran data ini terungkap, Bhinneka.com langsung melakukan investigasi internal dan melakukan koordinasi dengan Badan Siber dan Sandi Negara (BSSN). Hingga saat ini, hasil penyelidikan dari kasus kebocoran data ini masih belum diungkap secara jelas.

DATA PEMILIH KPU

Pada akhir Mei 2020, konsultan keamanan siber asal Israel, Under the Breach, mengungkapkan bocornya data dari 2,3 juta penduduk indonesia milik KPU bocor dan ditawarkan di salah satu forum peretasan. Dalam file PDF yang diunggah, data ini berisi informasi seperti, nama, alamat, Nomor Induk Kependudukan (NIK),Nomor Kartu Kartu Keluarga, dan lainnya. Setelah ditelusuri, data tersebut merupakan data pemilih pada 2013.

KPU RI membenarkan jika data yang bocor tersebut adalah Daftar Pemilih Tetap (DPT) pada tahun 2013. KPU menegaskan, data DPT tersebut telah sesuai dengan regulasi yang ada saat itu, dimana data pemilih bersifat "terbuka". Namun hingga kini kasus kebocoran data ini masih belum jelas penyelesaiannya.

DATA COVID-19

Pada Juni 2020, pengguna Raid Forums "Database Shopping" mengklaim dan menjual basis data yang berisi data  230 ribu warga Indonesia terkait dengan Covid-19. Pelaku mengatakan data tersebut berhasil dibobol pada 20 Mei 2020. Namun, tidak disebutkan dari mana asalnya dan mulai ditawarkan pada 18 Juni 2020.

Berdasarkan penulusuran Cyberthreat.id, contoh data yang ditawarkan berisi tanggal laporan, nama, kewarganegaraan, kelamin, umur, telepon, alamat tinggal, jenis kontak, hubungan kasus, tanggal awal risiko, tanggal akhir risiko, tanggal mulai sakit, tanggal rawat jalan, faskes rawat jalan, tanggal rawat inap, keluhan sakit, tanggal ambil sampel, jenis periksa, tanggal kirim sampel, tanggal ambil hasil, status akhir, tanggal rapid test, hasil rapid test, tanggal PCR test, dan hasil PCR test. Tak hanya itu, ada juga sejumlah nama yang telah menjalani pemeriksaan. Sebagian besar yang dimunculkan di sampel adalah data dari Bali, yang beberapa di antaranya adalah warga negara asing.

KREDITPLUS

Pada awal Juli 2020, Cyble Inc, perusahaan keamanan siber asal Atlanta, Amerika Serikat, menemukan 896.170 data milik pelanggan KreditPlus dijual di forum internet.

Penjual data dengan akun “Megadimarus” (memiliki reputasi kredibel dengan status GOD) mengklaim memiliki basis data yang berisi nama, alamat email, kata sandi, alamat fisik, nomor telepon, data pekerjaan, data perusahaan, dan data keluarga. Melalui RaidForums, data pelanggan Kreditplus ini mulai ditawarkan pada 27 Juni 2020. Kemudian, pada 16 Juli, data itu kembali ditawarkan oleh akun ShinyHunters.

Sayangnya, hingga saat ini tidak ada keterangan apapun dari KreditPlus dan kasus kebocoran data ini menghilang begitu saja.

BASIS DATA POLRI

Pada Juni 2020, Pendiri Komunitas Ethical Hacker Indonesia, Teguh Aprianto, melalui Twitter-nya mengungkapkan dugaan adanya kebocoran data anggota Polri di sebuah forum internet. Ia mengunggah tangkapan layar yang berisi informasi pribadi seorang anggota polri, mulai dari foto diri, riwayat jabatan, pangkat, dan lain-lain.

Akun Hojatking mengklaim berhasil membobol basis data Polri pada 31 Mei 2020. Hojatking menjual akses penuh ke basis data itu seharga US$ 1.200 (setara Rp 17 juta). Sementara, untuk informasi bug (celah keamanan) pada aplikasi dijual seharga US$ 2.000 (Rp 28,5 juta).

Meski sempat dikatakan hoaks, kebocoran data ini diperkuat dengan video yang diunggah oleh pelaku pembobolan database Polri, yang memperlihatkan bagaimana dirinya bisa masuk dan mengakses database personil Polri layaknya seorang admin. Database tersebut berisi data 14.785 personil aktif, 909 personel di luar Satker, 31 personil yang sedang pendidikan, 1.594 personil pensiun, 515 personil meninggal, 9.081 jabatan aktif, dan beberapa data lain.

CERMATI.COM

Sebanyak 2,9 juta pengguna milik layanan keuangan Cermati.com, juga ditawarkan di sebuah forum peretasan pada Oktober 2020. Berdasarkan sampel data yang diunggah, basis data milik pengguna Cermati.com yang ditawarkan berupa alamat email, password yang terlindungi algoritma Bcrypt, nama, alamat rumah, telepon, pendapatan, bank, nomor pajak, nomor identitas, jenis kelamin, pekerjaan, perusahaan tempat bekerja, dan nama gadis ibu kandung.

BPJS KESEHATAN

Pada Mei 2021 pengguna RaidForums bernama Kotz menjual basis data yang berisi informasi pribadi penduduk Indonesia. Data yang dijual mencakup NIK KTP, gaji, nomor ponsel, alamat, dan email.

Kotz mengaku mendapatkan data tersebut dari situs web bpjs-kesehatan.go.id, dan akan menjual basis data tersebut seharga 0,15 BTC (setara dengan Rp84,3 juta atau sekitar US$6.000).

Database tersebut terdiri dari 279 juta dan 20 juta di antaranya dilengkapi dengan foto pribadi. Kotz mengklaim data tersebut juga berisi daftar orang-orang yang sudah meninggal.

Kasus kebocoran data ini awalnya ditangani oleh Kemenkominfo dan BSSN, namun akhirnya dialihkan ke kepolisian dan belum ada update terbaru terkait kasus ini.

BRILIFE SYARIAH

Pada Juli 2021 lalu, data yang diduga milik 2 juta nasabah asuransi BRI Life ditawarkan di forum peretasan oleh pengguna Bernama “Reckt”. Namun tidak lama setelah itu thread yang dibuatnya untuk menawarkan data nasabah tersebut hilang.

Sebelumnya, perusahaan keamanan siber asal Israel, Hudson Rock juga telah mengidentifikasi peretasan yang terjadi pada beberapa komputer milik karyawan BRI Life dan Bank Rakyat Indonesia (BRI). Peretasan tersebut diyakini membuat sang peretas berhasil mendapatkan akses awal ke perusahaan.

Data nasabah BRI Life itu kini dijual di forum peretasan seharga US$7.000 atau setara Rp100 jutaan. Penjual data, juga melampirkan sejumlah sampel data yang didokumentasikannya dalam bentuk video 30 menit berukuran 250 GB.

Database tersebut tidak hanya memuat data pribadi 2 juta nasabah. Tetapi juga berisi 463 ribu dokumen termasuk rincian rekening bank, salinan KTP, hasil pengecekan kesehatan di sebuah laboratorium, dan data wajib pajak.

Dari hasil penyelidikan, BRI Life sendiri telah menemukan bukti adanya peretas yang menyusup ke sistem BRI Life Syariah. Namun pihak BRI Life mengklaim sistem yang diretas tersebut terdapat tidak lebih dari 25.000 ribu pemegang polis syariah individu dan data tersebut tidak berkaitan dengan data BRI Life atau BRI Group lainnya.

eHAC

Pada Agustus 2021 tim peneliti dari vpnMentor menemukan sekitar 1,3 juta data milik pengguna aplikasi Electronic Health Alert Card (eHAC) Indonesia yang dikembangkan Kementerian Kesehatan RI terekspose di internet.

Penemuan tersebut langsung dilaporkan kepada kepada Kemenkes pada Juli 2021 sebanyak dua kali namun tidak direspons dan kembali dilaporkan ke BSSN pada Agustus 2021.

Basis data yang terbuka di internet itu mencakup data tes kesehatan Covid-19 meliputi identitas dan jenis penumpang, identitas rumah sakit, alamat dan waktu kunjungan rumah, jenis tes, hasil tes, dan lain-lain. Kasus ini sempat diselidiki, tapi akhirnya dihentikan karena tidak ditemukan adanya pencurian data.

KPAI

Pada Oktober 2021, seorang pengguna RaidForums “C77” menawarkan data milik KPAI. Ia memberikan sampel data untuk menarik pembeli. Masing-masing data itu dihargai sebesar 8 credit.

KPAI pun telah mengakui bahwa pihaknya telah mengalami pelanggaran data yang mengakibatkan tereksposenya data pengaduan online yang ada di situs web KPAI. Namun mereka memastikan bahwa peretasan dan pencurian data tersebut tidak berdampak pada layanan di situs web KPAI.

Dilihat dari sampel data yang dibagikan, basis data disusun dalam bentuk tabel dalam format file .csv yang berisi, antara lain identitas, nama, nomor identitas/KTP, kewarganegaraan, telepon, HP, agama, pekerjaan, pendidikan, alamat, email, tempat tanggal lahir, jenis kelamin, provinsi, kota, dan usia.

Kasus kebocoran data KPAI ini sedang diselidiki oleh Kepolisian RI dan belum ada pembaruan perkembangan penyelidikan.[]

Redaktur: Andi Nugroho