Cyberthreat.id - Selama 2020, beberapa platform digital yang beroperasi di Indonesia mengalami kasus kebocoran data yang berdampak terhadap data pengguna Indonesia.

Mulai platform e-commerce, lembaga pemerintahan, hingga lembaga pendidikan di Indonesia, mengalami kasus kebocoran data. Sayangnya, hingga saat ini belum diketahui dengan pasti penyebab terjadinya kasus kebocoran data tersebut.

Hasil investigasi internal dan kepolisian yang dilakukan belum pernah disampaikan ke publik hingga artikel ini dipublikasikan. Berikut sejumlah kasus kebocoran data yang diberitakan Cyberthreat.id sepanjang tahun ini:

• Tokopedia

Pada awal Mei 2020, Tokopedia dilaporkan mengalami peretasan yang berdampak pada data milik 91 juta pengguna Tokopedia.

Laporan peretasan dan kebocoran data ini pertama kali diungkap oleh Under the Breach, perusahaan keamanan siber asal Israel. Temuan itu berdasarkan unggahan hacker yang membagikan basis data 15 juta pengguna Tokopedia di forum darkweb, RaidForums, pada 3 Mei 2020.

Tak lama setelah kejadian tersebut terungkap, Tokopedia memberi notifikasi pada semua pengguna mereka sambil memulai penyelidikan dan memastikan akun dan informasi keuangan pengguna tidak terdampak terkait peretasan ini.

Akibat kebocoran data ini, Komunitas Konsumen Indonesia (KKI) juga sempat menuntut Tokopedia dan meminta Tokopedia untuk membayar denda yang disertai dengan permintaan maaf secara resmi kepada masyarakat melalui media massa. Namun, KKI kalah dalam gugatan ini.

Investigasi kasus ini diklaim oleh Kementerian Komunikasi dan Informatika telah selesai. Namun, Kemkominfo belum bisa membeberkan hasil investigasi ke publik. Saat ini, Kemkominfo mengkalim telah menegur secara tertulis kepada Tokopedia.

• Bhinneka.com

Tak lama setelah kasus kebocoran Tokopedia terungkap, pada Mei 2020 muncul kabar 1,2 juta data pribadi konsumen Bhinneka.com dijual bersamaan dengan data pengguna 9 perusahaan lain, di forum darkweb seharga US$ 1.200 atau setara Rp 18 juta oleh seorang peretas bernama ShinyHunters.

Bhinneka.com tidak membenarkan secara tegas adanya kebocoran data di server mereka. Mereka hanya mengatakan password pengguna aman karena dilindungi enkripsi. Terkait informasi keuangan pengguna, mereka mengklaim tidak menyimpannya sama sekali.

Bhinneka melakukan investigasi internal dan melakukan Koordinasi dengan Badan Siber dan Sandi Negara (BSSN). Mereka juga terus meningkatkan keamanan yang sesuai dengan standar keamanan global PCI DSS (Payment Card Industry Data Security Standard) dari TUV Rheinland untuk melindungi pelanggan. Hingga saat ini, kasus kebocoran data ini masih belum diungkap secara jelas.

• Data Pemilih KPU

Pada akhir Mei 2020, konsultan keamanan siber asal Israel, Under the Breach, mengungkapkan bocornya data dari 2,3 juta penduduk indonesia milik KPU bocor dan ditawarkan di salah satu forum peretasan.

Dalam file PDF yang diunggah, data ini berisi informasi seperti, nama, alamat, Nomor Induk Kependudukan (NIK), Nomor Kartu Kartu Keluarga, dan lainnya. Setelah ditelusuri, data tersebut merupakan data pemilih pada 2013.

KPU RI sendiri telah membenarkan jika data yang bocor tersebut adalah Daftar Pemilih Tetap (DPT) pada 2013. KPU menegaskan, data DPT tersebut telah sesuai dengan regulasi yang ada saat itu, d imana data pemilih bersifat "terbuka".

• Data Covid-19

Pada Juni lalu, seorang peretas mengklaim dan menjual  database yang berisi data  230 ribu warga Indonesia terkait dengan Covid-19. Pelaku mengatakan data tersebut berhasil dibobol pada 20 Mei 2020. Namun, tidak disebutkan dari mana asalnya dan mulai ditawarkan pada 18 Juni 2020.

Berdasarkan penulusuran Cyberthreat.id, akun dengan nama Database Shopping, memberikan contoh data yang berisi tanggal laporan, nama, kewarganegaraan, kelamin, umur, telepon, alamat tinggal, jenis kontak, hubungan kasus, tanggal awal risiko, tanggal akhir risiko, tanggal mulai sakit, tanggal rawat jalan, faskes rawat jalan, tanggal rawat inap, keluhan sakit, tanggal ambil sampel, jenis periksa, tanggal kirim sampel, tanggal ambil hasil, status akhir, tanggal rapid test, hasil rapid test, tanggal PCR test, dan hasil PCR test. Tak hanya itu, ada juga sejumlah nama yang telah menjalani pemeriksaan. Sebagian besar yang dimunculkan di sampel adalah data dari Bali. Beberapa di antaranya warga negara asing.

Berkaitan dengan kasus kebocoran data covid-19 ini, Kemenkominfo mengklaim telah melakukan investigasi terhadap server-server milik pemerintah

• Kebocoran data Fasilkom UI

Pada 11 Mei 2020, Fakultas Ilmu Komputer Universitas Indonesia (Fasilkom UI) menerima laporan terkait adanya kebocoran data pengguna di situs webnya.

Menurut Fasilkom UI, laporan kebocoran data tersebut berawal dari laporan  Pusat Operasi Keamanan Siber Nasional Badan Siber dan Sandi Negara (BSSN) yang mengamati peredaran perdagangan data pada beberapa forum peretasan daring.

Setelah menerima laporan tersebut, Fasilkom UI melakukan investigasi internal melalui Center for Cyber Security and Cryptography milik Fasilkom UI. Mereka menemukan kebocoran data yang dilaporkan merupakan insiden keamanan yang terjadi sebelumnya pada kurun waktu tahun 2015.

Penyebab kebocoran data pada waktu itu adalah sebuah bug pada plugin salah satu website dengan domain cs.ui.ac.id yang dalam masa pengembangan pada 2010.

Fasilkom UI mengatakan, data yang bocor adalah data staf Fasilkom UI yang terdiri dari nama pengguna, nama lengkap, dan sandi dalam format hash, bukan teks biasa (plain text) yang dapat dibaca secara kasat mata. Kami memahami bahwa data tersebut adalah data dummy dari plugin situs web pada medio 2010, sehingga tidak berkaitan dengan akses ke sistem-sistem di UI, karena sudah berbasiskan Single Sign On (SSO).

• Kreditplus

Pada awal Juli lalu, Cyble Inc, perusahaan keamanan siber asal Atlanta, Amerika Serikat, menemukan 896.170 data milik pelanggan Kreditplus dijual di darkweb. KreditPlus adalah layanan pembiayaan sepeda motor, mobil, dan peralatan berat yang dimiliki oleh PT Finansia Multi Finance yang berdiri sejak 1994.

Penjual data dengan akun Megadimarus (memiliki reputasi kredibel dengan status GOD) mengklaim memiliki basis data yang berisi nama, alamat email, kata sandi, alamat fisik, nomor telepon, data pekerjaan, data perusahaan, dan data keluarga.

Melalui RaidForums, data pelanggan Kreditplus ini mulai ditawarkan pada 27 Juni 2020. Kemudian, pada 16 Juli, data itu kembali ditawarkan oleh akun ShinyHunters. Sayangnya, hingga saat ini tidak ada keterangan apa pun dari KreditPlus.

• Database Polri

Pada Juni lalu, Pendiri Komunitas Ethical Hacker Indonesia, Teguh Aprianto, melalui laman Twitter-nya menungkapkan dugaan adanya kebocoran data anggota Polri di sebuah forum dark web. Teguh mengunggah tangkapan layar yang berisi informasi pribadi seorang anggota polri, mulai dari foto diri, riwayat jabatan, pangkat, dan lain-lain.

Teguh mengungkapkan informasi tersebut didapatkannya dari forum jual beli data dan forum peretas, RaidForums. Ia menyebutkan, sebuah akun dengan nama Hojatking mengklaim berhasil membobol basis data Polri pada 31 Mei 2020.

Hotjaking menjual akses penuh ke basis data itu seharga US$ 1.200 (setara Rp 17 juta). Sementara, untuk informasi bug (celah keamanan) pada aplikasi dijual seharga US$ 2.000 (Rp 28,5 juta).

Pada awalnya, Kepolisian Republik Indonesia (Polri) mengatakan dugaan basis data anggota polri yang ditawarkan peretas di forum RaidForums merupakan hoaks. Hal tersebut dikarenakan belum dilakukannya investigasi terkait kebenaran kabar yang beredar tersebut.

Pihak kepolisian mengklaim bahwa tidak ada kebobolan data Sistem Informasi Personil Polri (SIPP). Ia juga menyebutkan bahwa tangkapan layar yang beredar tersebut tidak sama dengan SIPP yang digunakan Polri saat ini. Meski begitu, Direktorat Tindak Pidana Siber Bareskrim Polri tetap melakukan penyelidikan terkait dengan peredaran dugaan basis data Polri tersebut.

Bahkan, Kemkominfo juga sempat menyebut informasi tentang bocornya database Polri sebagai hoaks alias kabar bohong, dengan mengunggah sebuah artikel berjudul "[HOAKS] Seseorang Mengklaim Sudah Berhasil Membobol Data Seluruh Anggota Polri."

Artikel itu dilengkapi gambar cuitan dari pendiri Komunitas Ethical Hacker Indonesia, Teguh Aprianto, yang memberitahu ada peretas yang menjual akses penuh ke Sistem Informasi Personil Polri (SIPP) seharga Rp17 juta.

Menjawab tudingan hoaks, peretas mengunggah sebuah video yang memperlihatkan bagaimana dirinya bisa masuk dan mengakses database personel Polri layaknya seorang admin. Dalam video itu pelaku masuk menggunakan username "infopers" ke dabatase SIPP Polda Sumatera Selatan. Pada bagian kiri atas ada keterangan waktu akses pada 16 Juni 2020 pukul 04.25:33.

Pada layar, ada pula informasi yang menyebutkan database tersebut berisi data 14.785 personel aktif, 909 personel di luar Satker, 31 personel yang sedang pendidikan, 1.594 personel pensiun, 515 personel meninggal, 9.081 jabatan aktif, dan beberapa data lain.

• ShopBack

Platform belanja daring yang terkenal dengan layanan cashback ini mengumumkan insiden pelanggaran data kepada pelanggan melalui email pada 25 September 2020.

ShopBack mengatakan, perusahaan mengetahui adanya akses tidak sah ke sistemnya  yang berisi data pribadi pelanggan. Shopback juga telah melakukan tindakan pengamaman, dan akses tidak sah tersebut telah dihapus. ShopBack menegaskan bahwa cashback dan kata sandi pengguna tetap aman dan terenkripsi. Sedangkan untuk informasi pembayaran, mereka sama sekali tidak menyimpannya. Akibat insiden ini, Badan pengawas privasi Singapura, Personal Data Protection Commission juga turut menyelidiki dugaan kasus kebocoran data ini.

• RedDoorz

Pada 26 September 2020, startup penyedia pemesanan kamar hotel secara daring asal Singapura, RedDoorz mengungkapkan telah mengalami kebocoran data yang berisikan data pribadi pelanggan, seperti, nama, alamat email, nomor telepon, alamat, dan detail pemesanan. Namun, RedDoorz memastikan tidak ada data keuangan pengguna yang bocor.

RedDoorz juga memastikan kata sandi akun RedDoorz pelanggan dienkripsi, tetapi pengguna disarankan untuk mengganti kata sandi serta tidak menggunakan kata sandi lama untuk akun daring lainnya.

RedDoorz sedang menyelidiki kasus ini lebih lanjut dan di saat yang bersamaan pihaknya melakukan peninjauan terhadap sistem teknologi informasi dan keamanan RedDoorz.

Namun, pada November lalu, basis data pelanggan yang diduga milik RedDoorz dijual di forum peretas RaidForums seharga US$ 2.000 atau setara Rp 28 juta. Data yang ditawarkan berjumlah 5,8 juta, di antaranya berupa nama, kata sandi yang dienkripsi (Bcrypt), email, nomor ponsel, dan jenis kelamin.

Tak hanya Reddoorz, peretas juga memiliki data pelanggan Redmart Lazada dan layanan keuangan Cermati.com.

• RedMart

Pada Oktober lalu, platform daring RedMart Lazada dilaporkan mengalami peretasan. Peretasan tersebut ditemukan di Singapura pada 29 Oktober lalu. Lazada mengonfirmasi  bahwa sebanyak 1,1 juta akun pelanggan terkena peretasan. Informasi pribadi yang kemungkinan terpengaruh dalam insiden siber tersebut, seperti alamat email dan fisik, nomor telepon, nama pengguna, kata sandi terenkripsi, dan sebagian nomor kartu kredit.

Lazada mengatakan bahwa informasi yang bocor tersebut diambil dari database pelanggan RedMart yang sudah lebih dari 18 bulan tak dipakai lagi. Namun, Lazada telah memastikan bahwa data para pelanggan Lazada di Asia Tenggara, termasuk Indonesia, tidak terpengaruh oleh kebocoran data tersebut.

• Cermati

Bersamaan dengan Redmart dan RedDoorz, basis data 2,9 juta pengguna milik layanan keuangan Cermati.com, juga ditawarkan di forum peretasan.

Berdasarkan sampel data yang diunggah, basis data milik pengguna Cermati.com yang ditawarkan berupa alamat email, kata sandi yang terlindungi algoritma Bcrypt, nama, alamat rumah, telepon, pendapatan, bank, nomor pajak, nomor identitas, jenis kelamin, pekerjaan, perusahaan tempat bekerja, dan nama gadis ibu kandung.

Melalui pemberitahuan pelanggan, Cermati mengungkapkan bahwa pihaknya telah mendeteksi adanya akses tidak sah ke database mengandung data dari sebagian pengguna Cermati.

Cermati mengklaim pihaknya tidak menyimpan kata sandi penggunanya dalam bentuk teks biasa, tetapi dengan enkripsi kuat menggunakan algoritma BCrypt.

Pihaknya telah mengambil beberapa langkah yakni melakukan investigasi dan menghapus akses tidak sah untuk memastikan data pengguna tetap terjaga. Mereka juga bekerja sama dengan Badan Siber dan Sandi Negara (BSSN)  serta berdiskusi untuk mengambil langkah yang tepat dalam memastikan keamanan data penggunanya.[]

Redaktur: Andi Nugroho