Warga mencari informasi tentang keaktifan keanggotaan BPJS Kesehatan di Jakarta, Selasa (3 November 2020). Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan per 1 November 2020 akan mulai melakukan "cleansing data" atau penonaktifan sementara bagi peserta yang memiliki data tidak lengkap dan bermasalah, selanjutnya akan diaktifkan kembali apabila menunjukkan Kartu Tanda Penduduk (KTP) atau Kartu Keluarga (KK). | Foto: Antara/Aprillio Akbar
Cyberthreat.id – Kementerian Pertahanan turut terlibat dalam penanganan terkait dugaan kebocoran data peserta BPJS Kesehatan.
Andil tersebut, menurut Kepala Bidang Jaminan Keamanan Pusat Pertahanan Siber Kemhan, Kolonel Sus Trisatya Wicaksono, karena Kemhan “sangat berkepentingan” sehubungan adanya kerja sama operasional kedua lembaga.
“Kemhan sangat berkepentingan dengan permasalahan tersebut sehubungan adanya kerja sama operasional antara Kemhan dengan BPJS Kesehatan terkait data anggota Kemhan/TNI yang terdaftar di BPJS Kesehatan,” tutur Kolonel Sus dalam siaran pers bersama BPJS Kesehatan, Selasa (25 Mei 2021).
Ia juga mengapresiasi BPJS Kesehatan telah melaporkan kasus penawaran data di forum online kepada aparat penegak hukum.
“BPJS Kesehatan dan kementerian/lembaga terkait akan bersama-sama menyelesaikan permasalahan ini secepatnya,” ujarnya.
Sebelumnya, seorang pengguna RaidForums bernama Kotz menjual basis data yang berisi informasi pribadi penduduk Indonesia. Data yang dijual mencakup NIK KTP, gaji, nomor ponsel, alamat, dan email.
“Seluruhnya ada 279 juta dan 20 juta di antaranya dilengkapi dengan foto pribadi,” klaim Kotz di forum tersebut, diakses Kamis (20 Mei 2021).
Ia mengunggah data itu dengan judul “SELLING Indonesian full Citizen 200M+ (NIK/KPT/PHONE/NAME/MAI/LADDRESS/),Free 1Million” pada 12 Mei 2021. Data tersebut juga berisi daftar orang-orang yang sudah meninggal.
Untuk meyakinkan pembeli data, ia melampirkan sampel yang berisi 1 juta data yang dapat diakses secara gratis. Ada tiga tautan sampel data yang dapat diunduh oleh pengguna forum tersebut—kini telah diblokir oleh Kemenkominfo.
Sampel data tersebut berisi informasi pribadi dengan struktur PSNOKA, PSNOKALAMA, PSNOKLAMA2, NAMA, NMCETAK, JENKEL (jenis kelamin), AGAMA, dan TMPLHR (tempat lahir).
Kotz mengaku mendapatkan data tersebut dari situs web bpjs-kesehatan.go.id, dan menjual basis data tersebut seharga 0,15 BTC (setara dengan Rp84,3 juta atau sekitar US$6.000).
Pencocokan di server BPJS
Sementara, peneliti keamanan siber Vaksin.com, Alfons Tanujaya, meyakini kuat bahwa sampel data yang beredar di RaidForums adalah data peserta BPJS.
Ia mencocokkan sampel data itu melalui fasilitas online yang memang disediakan oleh situs web BPJS Kesehatan, yaitu melalui "Cek Iuran BPJS Kesehatan" atau tautan https://daftar.bpjs-kesehatan.go.id/bpjs-checking/. Analisis terhadap sampel data tersebut dilakukan secara acak. Data yang dicocokkan yaitu nomor BPJS dan tanggal lahir.
Hasil pencocokan yang dilakukan Vaksin.com. | Foto: Kumparan.com
“Cek Iuran BPJS Kesehatan” merupakan laman yang disediakan untuk pengguna BPJS Kesehatan mengecek tagihan dan pembayaran iuran.
Ketika Alfons memasukkan data nomor BPJS, ternyata terdapat kecocokan dengan data yang tersimpan di server BPJS Kesehatan. Namun, alamat tersebut kini telah dinonaktifkan oleh BPJS Kesehatan. "Iya, sekarang sudah dinonaktifkan," ujar Alfons.
Pantauan Cyberthreat.id, tautan itu ketika diklik menampilkan tulisan "HTTP Status 404 - /bpjs-checking/". Dalam deskripsinya tertuliskan bahwa tautan itu tidak tersedia: description The requested resource (/bpjs-checking) is not available.[]
Share:
