tirto.id - Kudus Purnomo, 26 tahun, santai sembari menyeruput kopi panas saat membaca informasi tentang kebocoran data pribadi mahasiswa Universitas Diponegoro (Undip) yang beredar di media sosial pada Selasa (5/1/2021) malam. Awalnya ia tak acuh, toh masalah itu memang beberapa kali terjadi dan kerap tak ada respons konkret dari otoritas negara.
Namun Kudus kaget bukan main saat membaca lebih detail: data yang bocor menyentuh 125 ribu, milik mahasiswa angkatan 2010 sampai 2017, lengkap hingga keterangan rumah serta keluarga. Rinciannya: nama lengkap, jurusan, jalur masuk universitas, tanggal lahir, nomor ponsel, alamat tempat tinggal, kota asal, asal sekolah, status perkawinan, nama orang tua, pekerjaan orang tua, penghasilan orang tua, hingga pendidikan orang tua.
Direktorat Tindak Pidana Siber (Dittipidsiber) Polri bahkan menyebut yang bocor termasuk mengenai data listrik bulanan, telepon bulanan, air bulanan, biaya rokok, hingga kulkas dan televisi.
Kudus adalah mantan mahasiswa Undip angkatan 2012 jurusan Ilmu Sejarah sehingga dia khawatir yang bocor termasuk informasi pribadinya.
“Harusnya data pribadi dilindungi seketat mungkin. Di zaman sekarang, data pribadi mudah menjadi barang dagangan,” kata Kudus saat dihubungi wartawan Tirto, Selasa (6/1/2021) sore. “Ini sangat berbahaya,” katanya, sebab kebocoran data rentan menjadi pintu masuk kejahatan siber lain. Dia juga bilang “ini alarm bahwa data pribadi itu harus dijamin dan jangan sampai ada kekosongan hukum” dan “pemerintah harus segera mengusut.”
Informasi mengenai kebocoran data pribadi ratusan ribu mahasiswa Undip beredar pertama kali lewat akun Twitter @fannyhasbi pada 5 Januari. Cyberthreat.id, media daring yang fokus pada isu keamanan digital, menyebut bahwa data itu ditawarkan secara gratis di Raid Forums, sebuah forum jual beli data, sejak 3 Januari.
Penyelidikan sementara Direktorat Reserse Kriminal Khusus Polda Jawa Tengah menemukan pengguna Raid Forums dengan username “eax” yang menjual data-data itu. Ia terhubung dengan https://keybase.io/muammer276. Kepala Bidang Humas Polda Jawa Tengah, Iskandar Fitriana Sutisna mengatakan dari pencarian kata kunci “muammer276” di media sosial, ditemukan akun Google Mail bernama muammer276@gmail.com dan akun Facebook “Uitgaan Gent Mobiele App”.
“Akun Facebook Uitgaan Gent Mobiele App diduga berlokasi di Belanda dikarenakan bahasa yang digunakan adalah Bahasa Belanda,” kata Iskandar saat dikonfirmasi wartawan Tirto, Rabu malam.
Peneliti keamanan siber sekaligus pendiri Ethical Hacker Indonesia (EHI) Teguh Aprianto menilai sangat mungkin kebocoran terjadi karena Sistem Informasi Akademik (SIA) yang dimiliki Undip memiliki celah keamanan yang longgar.
Dampak bagi para mahasiswa dan eks-mahasiswa yang datanya bocor adalah mereka akan rentan menjadi korban penipuan berbasis daring hingga disalahgunakan identitasnya. “Data yang bocor itu tak bisa di-undo. Jadi, ya, harus bersiap ke depannya akan menjadi korban penipuan atau penyalahgunaan identitas. Yang bisa dilakukan hanya sebatas ganti password,” kata Teguh saat dihubungi wartawan Tirto, Rabu malam.
Mengingat tak adanya regulasi yang secara konkret melindungi data pribadi warga, Teguh menilai para mahasiswa dan eks-mahasiswa bisa menuntut langsung ke Undip. “Bisa dilakukan secara berkelompok untuk menghindari diskriminasi oleh pihak kampus,” kata Teguh. Tuntutan dalam dilayangkan dengan dasar Pasal 26 UU No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik, yang menyebut: penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang tersebut dan orang yang dilanggar haknya dapat mengajukan gugatan atas kerugian yang ditimbulkan.
Hingga Rabu sore, Kepala Bidang Humas Polda Jawa Tengah, Iskandar Fitriana Sutisna mengaku Undip belum melapor secara resmi. Meski begitu dia bilang akan tetap terus melakukan penyelidikan dan koordinasi. “Dengan pihak pengelola situs Universitas Diponegoro untuk mendapatkan log akses pada firewall dan server,” kata Iskandar saat dikonfirmasi wartawan Tirto.
Wartawan Tirto telah menghubungi Rektor Undip Yos Johan Utama via pesan teks Whatsapp dan panggilan telepon. Namun hingga Rabu malam, tak ada jawaban.
Pentingnya Perlindungan Data
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar menilai kasus kebocoran data pribadi ini membuktikan bahwa Indonesia memang membutuhkan RUU Perlindungan Data Pribadi (RUU PDP). Wahyudi mengatakan tidak adanya UU yang mengatur mengenai perlindungan data pribadi warga berdampak pada ketidakpastian hukum, terutama terkait kewajiban pengendali dan prosesor data, hak-hak subjek data, serta penanganan ketika terjadi insiden kebocoran data.
“Sejauh ini, meski ada sedikitnya 46 UU di Indonesia yang materinya terkait dengan data pribadi, namun belum ada kesamaan definisi data pribadi dan jenis data pribadi,” kata Wahyudi dalam keterangan tertulis, Rabu.
Karena itu, Elsam mendesak Kementerian Komunikasi dan Informatika (KemKominfo) untuk meminta pihak Undip memberikan informasi lebih lanjut terkait jumlah data mahasiswa yang terdampak, ruang lingkup data pribadi yang bocor, dan langkah-langkah apa saja yang telah diambil. “Untuk menangani dan mencegah terulangnya insiden kebocoran,” kata Wahyudi.
Elsam juga mendesak Badan Siber dan Sandi Negara (BSSN) untuk menginvestigasi mendalam, lalu memberikan rekomendasi penggunaan sistem keamanan yang andal sebagai bagian dari keamanan sistem pemerintahan berbasis elektronik.
Sementara bagi mahasiswa yang datanya bocor, katanya, “ambil tindakan-tindakan pencegahan untuk mengamankan akun, seperti penggantian password, menyalakan fitur autentikasi 2 langkah (2FA).”
Penulis: Haris Prabowo
Editor: Rio Apinino