tirto.id - Kasus dugaan pencurian data pribadi kembali terjadi. Kali ini, diduga sekitar 34 juta data paspor atau keimigrasian bocor dan diperjualbelikan. Hal itu terungkap lewat akun pegiat informatika, Teguh Aprianto di akun Twitter @secgron.
Teguh mengunggah tangkapan layar portal yang menjual data paspor Warga Negara Indonesia (WNI) yang terdiri atas nama lengkap, tanggal berlaku paspor, tempat tanggal lahir. Data tersebut dijual antara 10 ribu dolar AS atau sekitar 150 juta rupiah.
Pihak Ditjen Imigrasi pun langsung menindaklanjuti dugaan kebocoran data ini. “Sedang diselidiki (dugaan kebocoran data paspor)," kata Silmy melalui pesan singkatnya, Kamis, 6 Juli 2023.
Silmy menyebut saat ini pihaknya tengah bekerja sama dengan Kmenterian Kominfo dan Badan Siber dan Sandi Negara (BSSN) guna menelusuri dugaan kebocoran data tersebut.
Pihak BSSN membenarkan telah menindaklanjuti temuan tersebut. Juru Bicara BSSN, Ariandi Putra mengaku, BSSN tengah melakukan asistensi dan investigasi soal isu tersebut. BSSN telah melakukan koordinasi dengan tim Pusat Data Nasional (PDN) Kemenkominfo, Direktorat LAIP Kemenkominfo, CSIRT Kemenkumham, Pusdatin Kemenkumham dan Ditjen Imigrasi.
“Hingga saat ini tim teknis BSSN bersama dengan tim teknis Kemenkumham sedang melakukan asistensi penanganan insiden, validasi daninvestigasi atas dugaan insiden kebocoran data paspor WNI tersebut," kata Ariandi kepada Tirto, Jumat (7/7/2023).
BSSN bersama Kemenkumham, kata Ariandi, tengah melakukan langkah mitigasi risiko untuk memastikan keamanan data dan layanan sistem dapat berjalan normal. BSSN pun mengimbau kepada seluruh Penyelenggara Sistem Elektronik, Pengendali Data Pribadi, dan Subjek Data Pribadi untuk senantiasa meningkatkan keamanan data pribadi dan sistem elektronik yang dioperasikan.
Kominfo Klaim Belum Bisa Disimpulkan Terjadi Kebocoran
Sementara itu, Direktur Jenderal Aplikasi Informatika Kementerian Kominfo, Semuel A. Pangerapan menyatakan, belum ada kebocoran data pribadi secara masif sebagaimana pemberitaan. Hal tersebut berdasarkan investigasi internal pemerintah.
“Kesimpulan ini diambil setelah dilakukan beberapa tahap pemeriksaan secara hati-hati terhadap data yang beredar," kata Semuel.
Ia mengatakan, penelusuran dan penyelidikan masih akan terus dilakukan secara mendalam dan perkembangan hasil penyelidikan akan disampaikan kemudian.
"Kementerian Kominfo akan terus melanjutkan penelusuran dan akan merilis hasil temuan setelah mendapatkan informasi yang lebih detail," kata dia.
Kominfo melakukan komunikasi intens dengan pihak terkait seperti BSSN maupun Kemenkumham tentang dugaan kebocoran data itu. Ia pun meminta agar seluruh penyedia platform digital dan pengelola data pribadi, untuk semakin meningkatkan keamanan data pribadi pengguna.
Analis keamanan siber, Pratama Persadha mengatakan, aksi pencurian data sekitar 35 juta data pribadi diduga berkaitan dengan hacker Bjorka. Ia sebelumnya sudah membobol 35 juta data yang berasal dari database Telkom Indonesia untuk aplikasi MyIndiHome pada Juni 2023.
Dalam kasus Ditjen Imigrasi, Pratama menduga, Bjorka mendapat data paspor yang berisi data pribadi. Dalam data tersebut terlihat juga beberapa keterangan spesifik (field) seperti “PassportId,” "Nikim,” “TDType," "TDStatus,” "CreatedOn" serta field "LastUpdatedOn.”
Hacker Bjorka lantas membagikan 1 juta data contoh dari 34 juta data yang berhasil diperolehnya. File lengkap dengan besar file 4 GB dalam kondisi tidak terkompresi tersebut ditawarkan oleh Borja dengan harga 10.000 dolar AS atau sekitar 150 juta rupiah.
Pratama mengatakan, bisa saja data Bjorka valid karena ada data pribadinya di masa lalu. Akan tetapi, data yang dipegang Bjorka tidak bisa dipastikan dari server Ditjen Imigrasi atau tidak.
“Data yang dibagikan sebagai data sampel tersebut adalah data yang valid karena di salah satu baris data di file sample yang dibagikan tersebut juga ada data passport lama saya yang sudah kadaluarsa pada 2011. Untuk saat ini tidak dapat diketahui dengan pasti apakah data yang dibagikan tersebut memang berasal dari server Ditjen Imigrasi atau Bjorka mengambil data tersebut dari data kebocoran lainnya. Ditambah lagi dalam salah satu field yang terdapat pada file sample ada NIKIM (Nomor Induk Keimigrasian), di mana nomenklatur ini hanya dimiliki oleh Ditjen Imigrasi," kata Pratama.
Pratama juga melihat stuktur data file sample berbeda dengan struktur data Ditjen Imigrasi saat ini. Ia menduga, data tersebut tidak sama karena peretas menggunakan pengunduhan data lewat database dump. Dalam format file tersebut, hacker juga bisa saja mendapat keterangan yang tidak penting.
Selain itu, file dengan format CSV akan lebih mudah membaca data yang dibagikan, alih-alih masih dalam bentuk db-dump yang masih banyak memuat parameter table yang tidak dibutuhkan dan menyulitkan untuk membaca, karena tujuan utama hacker memberikan sampel data adalah sebagai media promosi sehingga hanya ditampilkan data yang penting saja dengan format yang mudah dibaca.
Dalam kacamata Pratama, kebocoran data tetap berbahaya bagi masyarakat yang datanya diambil Bjorka. Ia khawatir data tersebut digunakan untuk kepentingan tindak kejahatan seperti penipuan kepada pemilik atau penipuan dengan mengatasnamakan data tersebut.
“Yang lebih berbahaya lagi jika data pribadi tersebut dipergunakan untuk membuat identitas palsu yang kemudian dipergunakan untuk melakukan tindakan terorisme, sehingga pihak serta keluarga yang data pribadinya dipergunakan akan mendapat tuduhan sebagai teroris atau kelompok pendukungnya," kata Pratama.
Pratama juga menilai, kebocoran data merugikan pemerintah. Apalagi kebocoran data diklaim dari pemerintah lewat Ditjen Imigrasi. Dengan kata lain, bisa muncul persepsi keamanan siber pemerintah Indonesia rendah sehingga mencoreng citra pemerintah di tingkat nasional maupun internasional.
Secara tidak langsung, kata dia, Indonesia yang sudah punya BSSN, BIN maupun Kominfo tidak sanggup melakukan pengamanan siber meski memiliki kompetensi tinggi. Karena itu, Pratama mendorong agar pemerintah serius menerapkan regulasi Undang-Undang Perlindungan Data Pribadi (UU PDP).
“Melihat seringnya terjadi kebocoran data pribadi, pemerintah harus lebih serius dalam menerapkan hukum dan regulasi terkait dengan Pelindungan Data Pribadi. Dalam kasus kebocoran data, pihak-pihak yang harus bertanggung jawab adalah perusahaan sebagai pengendali atau pemroses data, serta pelaku kejahatan siber yang menyebarkan data pribadi ke ruang publik. Untuk pihak-pihak yang berdomisili di Indonesia kita bisa menggunakan UU PDP Pasal 57 sebagai dasar tuntutan," kata Pratama.
Pratama menilai penerapan UU PDP bisa dilakukan meski saat ini masuk masa transisi. Mereka bisa menerapkan sanksi pidana. Akan tetapi, dalam kasus Ditjen Imigrasi, sanksi hukuman tersebut hanya dapat dijatuhkan oleh lembaga atau komisi yang dibentuk oleh pemerintah dalam hal ini adalah presiden. Sehingga jika komisi PDP tersebut tidak segera dibentuk, maka pelanggaran yang dilakukan tidak akan dapat diberikan sanksi hukuman.
Ia mengingatkan Oktober 2024 adalah batas maksimal diberlakukannya UU PDP secara penuh, namun seharusnya bisa lebih cepat jika pemerintah sudah membentuk lembaganya serta turunan perundang-undangannya.
Oleh karena itu, Pratama mendorong agar Presiden Jokowi segera membentuk Komisi PDP sesuai amanat UU PDP Pasal 58 sampa dengan Pasal 60, di mana lembaga pengawas PDP ini berada di bawah presiden dan bertanggung jawab kepada presiden.
Ia menilai pembentukan lembaga atau otoritas tersebut akan membuat proses penegakan hukum serta pemberian sanksi bisa segera berjalan. Dengan demikian, kasus-kasus insiden kebocoran data pribadi dapat diselesaikan dengan baik dan rakyat bisa terlindungi.
Pemerintah, kata Pratama, juga harus membuka hasil investigasi kepada publik. Dengan demikian, publik dapat tahu sumber kebocoran dan memastikan kebocoran tidak terulang. Ia mengingatkan para peretas kerap meninggalkan akses tersembunyi untuk mendapatkan informasi.
Selain itu, lembaga pengelola data harus segera melakukan audit sistem keamanan dan forensik digital untuk mengetahui sumber kebocoran dan modus pengambilan data. Ia menilai, ada sejumlah metode yang bisa diterapkan seperti melakukan penilaian celah kerawanan dari sistem yang dimiliki, melakukan pengecekan di perangkat IDS serta IPS untuk memeriksa apakah ada akses tidak dikenal didalam sistem.
“Audit terhadap perangkat karyawan yang memiliki akses ke core system juga perlu dilakukan untuk memastikan perangkat tersebut tidak dimanfaatkan hacker untuk melakukan akses masuk ke core system dan melakukan pencurian data. Untuk melakukan audit serta forensik digital tersbeut, Ditjen Imigrasi juga dapat melakukan kolaborasi dengan BSSN, BIN serta Kominfo untuk secara bersama sama melakukan audit serta forensik," kata Pratama.
Kasus yang Selalu Berulang
Direktur Eksekutif ELSAM, Wahyudi Djafar menilai, insiden peretasan secara beruntun menggambarkan rentannya pelanggaran perlindungan data pribadi yang melibatkan pengendali data badan publik (sektor privat maupun korporasi). Oleh karena itu, bentuk lembaga perlindungan data pribadi perlu diperhatikan di masa depan.
“Belajar dari insiden dan juga rentetan insiden kebocoran data sebelumnya, yang banyak melibatkan pengendali data badan publik, desain kelembagaan otoritas pengawas pelindungan data pribadi, yang dimandatkan Pasal 59 UU Pelindungan Data Pribadi menjadi krusial," kata Wahyudi.
Wahyudi menilai, lembaga otoritas pengawas data pribadi berperan harus mengawasi dan memastikan kepatuhan badan publik atau pemerintah terhadap UU PDP, termasuk memberikan sanksi bila terjadi pelanggaran. Hal ini semakin penting mengingat banyaknya data pribadi yang diproses oleh pengendali data pemerintah—badan publik, tentunya sulit untuk menjamin efektivitas pengawasan dan penegakan sejumlah fungsi di atas, apabila otoritas menjadi bagian dari kementerian tertentu.
ELSAM juga mengritik Pasal 57 UU PDP yang hanya memberikan ruang sanksi sebatas peringatan tertulis hingga penghapusan pribadi kepada badan publik dan minim sanksi pidana. ELSAM, kata Wahyudi, juga melihat ada potensi pembiaran penanganan masalah peretasan karena masih ada kekosongan regulasi dalam pelaksanaan teknis UU PDP.
Wahyudi menilai, UU PDP harus menjadi rujukan utama dalam upaya perlindungan data pribadi, seperti terkait prosedur ketika terjadi kegagalan pelindungan data pribadi, termasuk kewajiban memberikan notifikasi.
Oleh karena itu, ELSAM memberikan sejumlah saran yang dapat dilakukan Telkom maupun Ditjen Imigrasi. Pertama, perlu ada upaya deteksi keabsahan insiden dengan memberitahu ke otoritas saat ini, yakni Kominfo dalam kurun waktu 3x24 jam. Hal itu sesuai Pasal 46 UU PDP di mana materi laporan mencakup data pribadi yang terungkap, kapan dan bagaimana pengungkapan serta upaya pemulihan.
Kedua, segera melakukan pemulihan sebagaimana dalam UU PDP, PP Nomor 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, apalagi ada data spesifik seperti data anak atau data biometrik.
Ketiga, ia berharap Ditjen Imigrasi dan Kemenkumham bisa melakukan audit keamanan sesuai Perpres 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik.
Penulis: Andrian Pratama Taher
Editor: Abdul Aziz
