Cyberthreat.id – Lembaga Studi and Advokasi Masyarakat (ELSAM), organisasi yang fokus mendorong perlindungan data pribadi, mengatakan, Polri harus bertanggung jawab terhadap data-data pribadi yang diduga bocor.

Jika mengacu regulasi yang ada, yaitu Peraturan Pemerintah Penyelenggara Sistem dan Transaksi Elektronik dan Permenkominfo Perlindungan Data Pribadi dalam Sistem Elektronik, Polri bertindak sebagai pengendali data.

Terlebih, dalam Peraturan Presiden Sistem Pemerintahan Berbasis Elektronik, setiap sistem elektronik pemerintah harus memastikan kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) dari sistemnya, juga mekanisme pengendalian keamanan lainnya.

Aspek‐aspek itulah, kata ELSAM, yang kemudian diturunkan sebagai standar teknis dan prosedur keamanan aplikasi pemerintah, yang diatur dalam Pasal 25‐29 Peraturan BSSN Nomor 4/2021. Peraturan ini juga mengatur langkah‐ langkah minimal yang harus dilakukan ketika terjadi insiden keamanan, juga kewajiban untuk melakukan audit keamanan secara berkala.

---

Baca: 

• Peretas BSSN: Saya Masuk dalam 10 Menit
• Peretas Brasil ‘son1x’ Serang Subdomain Propam Polri, Satu Server Web Ditanam Backdoor

---

Oleh karena itu, “Subjek data juga memiliki hak untuk mendapatkan pemberitahuan secara tertulis dalam hal terjadinya kebocoran data pribadi. Kepolisian harus memberikan informasi kepada para pemilik data yang terdampak,” tutur  Direktur Riset ELSAM, Wahyudi Djafar kepada Cyberthreat.id, Senin (22 November 2021).

“Apalagi dalam kasus ini ada sejumlah data sensitif yang bocor, memiliki risiko lebih tinggi dan jangka panjang bagi subjek datanya,” ia menambahkan.

Melalui berbagai rujukan regulasi yang ada tersebut, Wahyudi mendorong agar kepolisian segera melakukan langkah‐langkah mitigasi, untuk memastikan berhentinya kebocoran data tersebut, serta mengidentifikasi penyebab kebocoran, sekaligus risiko yang mungkin terjadi pada subjek datanya.

Wahyudi juga mendorong agar kepolisian RI untuk melakukan proses investigasi insiden kebocoran data ini secara akuntabel. Hal ini harus dilakukan untuk memastikan pemenuhan hak‐hak subjek data, termasuk di dalamnya hak pemulihan yang efektif. Meskipun berbagai legislasi dan regulasi sektoral terkait dengan perlindungan data saat ini, belum secara baik mengatur jaminan perlindungan hak‐hak subjek data.

“Melalui berbagai insiden kebocoran data ini kita menyadari pentingnya UU PDP untuk bisa memberi perlindungan kepada individu saat terjadi insiden semacam ini,” tutur wahyudi.

Pada 17 November lalu, peretas Brasil “son1x”, yang beberapa waktu lalu mempermalukan Badan Siber dan Sandi Negara (BSSN), kali ini mengklaim telah membobol basis data Polri dan membagikannya gratis di Twitter.

Di akun Twitter-nya, ia membagikan dua tautan untuk mengunduh file data yaitu “polrileak.txt” berukuran 10,27 megabita dan “polri.sql” dengan ukuran sama. Ia juga mengklaim memiliki 28 ribu informasi login dan informasi pribadi.

---

---

Peretas yang masih berusia 16 tahun itu juga membagikan basis data secara teks jelas di Ghostbin, situs web yang membantu pengguna untuk menyimpan dan membagikan teks secara online.

Di portal tersebut, ia menulis panjang tentang peretasan basis data tersebut. “Pertama-tama, ini aksi yang dilakukan oleh saya sendiri, bukan anggota tim lain tempat saya berpartisipasi (mereka tidak suka kebocoran data),” tulisnya.

Selama ini, son1x memang menjadi anggota geng peretas web defacement berjuluk “theMx0nday”. Banyak riwayat serangan web mereka ditampilkan di situs web Zone-H.

“Saya melakukan ini karena saya tidak mendukung pemerintah dan bagaimana mereka memperlakukan rakyat sendiri,” kata dia.

“Banyak orang Indonesia telah menghubungi saya, berbicara tentang situasi kehidupan mereka di Indonesia. Jadi, saya memposisikan diri saya dengan mereka dan memutuskan untuk membantu dengan apa pun yang saya bisa. Jadi, inilah alasan saya membocorkan data ini,” ia menambahkan.

“Hal lain, saya harus jujur, saya di sini bukan anak baik ya, kadang-kadang saya memposisikan diri saya dengan sesuatu dan memutuskan untuk membantu.”

Yang dilihat Cyberthreat.id, basis data itu berisi seperti

• Nama
• Tempat tanggal lahir
• Satker
• Pangkat
• Status nikah
• Jabatan
• Alamat
• Pangkat terakhir
• Agama
• Golongan darah
• Suku
• pen_umum_terakhir
• pen_polri_terakhir
• pen_jurusan_terakhir
• pen_jenjang_terakhir
• rehab_no_putusan
• rehab_tanggal_putusan_sidang
• rehab_id_jenis_pelanggaran
• id_propam
• s_tgl_hukuman_selesai
• s_tgl_hukuman_mulai
• s_tgl_rehab_mulai
• s_tgl_rehab_selesai
• s_tgl_binlu_mulai
• s_tgl_binlu_selesai
• email
• no_hp

---

Akun son1x sebelum diblokir oleh Twitter.

---

Tanggapan Polri

Sementara itu, pada Senin (22 November), Polri memberikan pernyataan terkait serangan tersebut dan mengklaim keamanan data anggota hingga server dan aplikasi kepolisian dalam kondisi aman setelah serangan son1x.

"Intinya untuk server data, aplikasi-aplikasi Polri serta sistem keamanan semuanya hingga saat ini aman," kata Kepala Divisi Humas Polri Irjen Pol Dedi Prasetyo saat dikonfirmasi di Jakarta dikutip dari Antaranews.com.

Dedi mengatakan Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri telah melakukan pendalaman terkait pembobolan data Polri tersebut.

Dedi tidak menjelaskan lebih lanjut terkait keabsahan data yang diduga milik anggota Polri yang disebarkan oleh peretas di media sosial. Namun ia memastikan saat ini data institusi Polri tersebut dalam keadaan aman.[]

Redaktur: Andi Nugroho