Masuk tirto.id
tirto.id - Bulan ini semestinya menjadi peringatan setahun pemberlakuan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (PDP). UU PDP disahkan pada 17 Oktober 2022 dan berlaku efektif pada 2024. Meski begitu, taji UU ini ternyata belum kelihatan.
Sosok peretas anonim, Bjorka, kembali menjadi ujian berat pembuktian pemerintah dan aparat penegak hukum dalam melindungi data pribadi warga. Pasalnya, setelah mengklaim berhasil meringkus individu di balik identitas anonim Bjorka, Polda Metro Jaya (PMJ) justru diblejeti data sensitifnya.
Polda Metro Jaya mulanya meringkus seorang pemuda berinisial WFT (22) dari kediamannya di Minahasa, Sulawesi Utara, pada 23 September 2025. Lelaki tersebut dituding Polda Metro Jaya sebagai sosok di balik akun @Bjorkanesiaaa yang eksis di laman media sosial X.
WFT dibekuk polisi atas dugaan tindak pidana akses ilegal serta manipulasi data. @Bjorkanesiaaa sebelumnya mendaku sudah meretas 4,9 juta data personal nasabah dari salah satu bank swasta pada Februari 2025.
Usai klaim peretasan itu, WFT disebut memeras pihak bank agar mengirimkan sejumlah uang.
Alih-alih menuruti WFT, pihak bank kemudian melaporkan ancaman pemerasan tersebut ke Polda Metro Jaya pada Februari 2025.
Setelah enam bulan pencarian, WFT ditangkap di kediamannya di Minahasa, Sulawesi Utara. Dari tangan WFT, polisi menyita beberapa barang bukti digital, komputer hingga telepon seluler yang digunakan, serta bukti beberapa tampilan akun nasabah dari salah satu bank swasta.
Dalam konferensi pers, Kamis pekan lalu (2/10/2025), Kasubdit IV Direktorat Reserse Siber Polda Metro Jaya, Ajun Komisaris Besar Herman Edco, mengatakan kasus ini bermula dari laporan yang dibuat salah satu bank swasta. WFT disebut mengancam pihak bank sekitar Februari 2025.
"Dan mengklaim telah melakukan peretasan terhadap 4,9 juta akun nasabah," tutur Herman kepada awak media.
Catatan Tirto, akun @bjorkanesiaaa memang sempat membuat unggahan di X berisi klaim pembobolan database nasabah Bank BCA. Akun itu mendaku diri sebagai Bjorka, sosok peretas anonim yang menghebohkan jagat maya medio 2022-2023 karena berhasil meretas data sensitif milik instansi pemerintah Indonesia serta sejumlah korporasi swasta.
Akun @bjorkanesiaaa juga sempat memperingatkan bank-bank Indonesia lain akan kemungkinan menjadi sasaran ransomware atau peretasan dari kelompok hacker.
Menurut Kombes Herman, pelaku WFT sempat mengirimkan pesan ke akun resmi bank tersebut dengan maksud melakukan pemerasan.
Berdasarkan penyelidikan, kepolisian menemukan keterhubungan akun @Bjorkanesiaaa tersebut dengan akun bernama @Skywave yang aktif di platform DarkForums.
Menurut Herman, pelaku sengaja menggonta-ganti nama akunnya untuk menyamarkan diri dan menghindari kejaran petugas polisi.
"Bulan Maret lalu berubah namanya jadi @ShintHunter dan bulan Agustus berubah lagi menjadi @oposite6890," jelas Herman.
Menurut Herman, pelaku WFT mempelajari sistem keamanan digital secara autodidak dan aktif di forum darkweb sejak 2020 lalu.
Namun, kemudian muncul sosok lain yang mengklaim diri sebagai Bjorka dan meretas data sensitif yang diduga berisi data pribadi 341 ribu personel Polri. Data tersebut diunggah pada Sabtu, (4/10/2025) lalu di internet dan dapat diakses bebas oleh publik.
Kejadian pembobolan data ribuan personil polisi itu diinformasikan oleh akun X milik ahli keamanan siber, Teguh Aprianto.
Kasubbid Penmas Polda Metro Jaya AKBP Reonald Simanjuntak enggan berkomentar banyak atas kejadian ini.
“Itu kami dalami lagi,” kata Reonald di depan Gedung Ditreskrimum, Jakarta Selatan, Senin (6/10/2025).
Dokumen yang diklaim berisi data ribuan personel Polri itu diberi judul “341K Indonesian National Police Personnel Database”. Reonald mengaku belum mengetahui banyak mengenai kasus pembobolan data tersebut. Sehingga, kata Reonald, dirinya belum mampu berkomentar banyak.
“Saya baru dengar. Saya cek dahulu, kami dalami,” lanjut Reonald.
Dalam penjelasannya, sosok yang mengaku Bjorka itu menulis bahwa data tersebut dibocorkan sebagai respons atas klaim polisi yang menyebut sudah menangkap dirinya.
File yang diunggah berukuran 9 MB dalam format dokumen terkompresi dan 40 MB saat diekstrak.
Informasi dokumen itu meliputi nama, pangkat, unit, nomor HP, dan alamat email anggota Polri. Namun, hingga saat ini, kepolisian belum mengonfirmasi keabsahan data dalam dokumen tersebut.
“Since the police in Indonesia allege that they have arrested me, I have decided to disclose this data as a surprise for them. The individual you captured is someone who has been tricking many people under my name all this time, and you can only catch me in your dreams,” tulis keterangan sosok yang mendaku Bjorka itu.
Kejadian ini turut bikin publik meragukan bahwa pelaku WFT merupakan sosok asli peretas Bjorka. Reonald pun mengaku belum bisa memastikan apakah WFT merupakan sosok Bjorka yang sama dan melakukan aktivitas peretasan sejumlah data milik instansi pemerintah Indonesia sekitar 2022-2023 lalu.
"Kan sudah saya sampaikan, Wadirsiber juga sampaikan everybody can be anybody di internet, siapa pun bisa jadi siapa saja di internet. Bisa saja ada yang mengakui Bjorka-Bjorka lain atau ini lagi didalami apakah Bjorka ini identik dengan yang sebelumnya," ungkap Reonald di depan Gedung Ditreskrimum, Jakarta Selatan, Senin (6/10/2025).
Sebagai informasi, peretas anonim Bjorka mulai jadi sorotan beberapa tahun lalu kala membobol data milik Komisi Pemilihan Umum (KPU), dokumen surat-menyurat Presiden ke-7 RI Joko Widodo, dokumen penting Badan Intelijen Negara (BIN), data pengguna aplikasi MyPertamina, data pengguna aplikasi PeduliLindugi Kementerian Kesehatan, hingga data pribadi paspor WNI.
Selain itu, peretas anonim yang mulai beraktivitas sejak 2020 lalu itu juga sempat membobol miliaran data pengguna kartu SIM, data pengguna Tokopedia, hingga mengekspos data pribadi pejabat publik.
Pengamat teknologi informasi dan keamanan siber, Alfons Tanujaya, meragukan sosok WFT yang ditangkap Polda Metro Jaya adalah pemilik akun Bjorka sesungguhnya.
"Bjorka yang tertangkap ini juga memiliki motif finansial, kemungkinan besar ini Bjorka gadungan," kata Alfons kepada wartawan Tirto, Senin (6/9/2025).
Kendati begitu, Alfons menilai aksi pemerasan dan penyebarluaskan data pribadi nasabah sebuah bank yang diduga dilakukan WFT jelas merupakan tindakan kejahatan siber. Sehingga, kepolisian sudah tepat melakukan penangkapan terhadapnya.
Namun, sosok asli Bjorka yang melakukan peretasan terhadap data instansi pemerintah dan data pribadi warga dinilai masih belum tersentuh penegak hukum. Alfons menilai, aksi Bjorka itu juga sudah melanggar ketentuan UU ITE dan UU PDP.
"Kelihatannya begitu. Peretas idealis yang mumpuni akan menghindari aktivitas flexing berlebih dan memeras korbanya atau mencari keuntungan finansial," kata Alfons yang menilai sosok asli Bjorka belum tertangkap.
Fokus Tegakkan Hukum PDP & Perlindungan Data Warga
Peneliti Lembaga Studi dan Advokasi Masyarakat (ELSAM), Parasurama Pamungkas, mengingatkan bahwa kepolisian telah beberapa kali menangkap orang yang mereka tuding sebagai Bjorka pada 2022. Kala itu, seorang pemuda asal Cirebon dituding sebagai sosok Bjorka, namun kemudian dilepas karena tak terbukti demikian.
Kepolisian juga pernah menangkap pemuda penjual es asal Kabupaten Madiun dengan tudingan terkait aktivitas Bjorka. Namun, dia dilepas pula dengan berstatus tersangka serta dihukum wajib lapor.
Karenanya, dalam kasus WFT yang ditahan Polda Metro Jaya, Parasuma meminta polisi tidak main klaim dan berfokus pada pembuktian tindak pidana tersangka.
"Ini menunjukkan bahwa klaim penangkapan pertama memang salah sehingga APH baiknya fokus saja pada perbuatan pidana yang tersangka lakukan, ketimbang mengklaim bahwa tersangka adalah Bjorka atau bukan," ujar Parasurama kepada wartawan Tirto, Senin (6/10/2025).
Pasalnya, menurut Parasurama, sangat mudah menelusuri rekam jejak tersangka WFT yang kerap berganti-ganti akun anonim. Tersangka juga pernah mengunggah ulang utas-utas dari peretas lain yang melancarkan serangan siber ke Indonesia.
Sejalan itu, kepolisian mesti berhati-hati melakukan klaim karena karakter anonimitas dalam kejahatan siber membuat siapa pun bisa jadi impersonator atau peniru atas kejahatan pihak lain.
Menurutnya, masalah yang dihadapi Polri memang kerap terjadi dalam investigasi kejahatan siber di belahan dunia lain. Ruang siber memungkinkan pelaku beroperasi dengan tingkat anonimitas berbeda-beda dan menyusup tanpa terdeteksi radar penegak hukum dalam waktu yang lama.
Tantangan ini perlu menjadi lecutan pagi aparat penegak hukum dan pemerintah memoles akuntabilitas ruang siber.
"Maka wajar kalau Bjorka yang lain, mungkin yang asli maupun impersonator, sulit diungkap," ujar Parasurama.
Sementara itu, pakar keamanan siber Communication and Information System Security Research Center (CISSReC), Pratama Persadha, memandang dalam dunia keamanan siber dan intelijen digital, klaim penangkapan seorang tokoh yang selama ini hidup di bayang-bayang anonimitas seperti Bjorka wajar memicu skeptisisme.
Bukan karena keinginan melemahkan institusi penegak hukum, tetapi karena sejarah panjang ketidakpastian, anonimitas, dan teknik kamuflase yang khas dari dunia hacker.
Dari perspektif teknis dan intelijen siber, kata Pratama, seseorang yang beroperasi secara modular, tersebar, mengubah infrastruktur, dan memanfaatkan lapis-lapais jaringan tersembunyi sangat mungkin menciptakan “alias” atau “pseudonim” pengganti. Sehingga, bila suatu saat pola tersebut teridentifikasi, jaringan atau modul lainnya tetap bisa terpelihara.
"Oleh karena itu, pengakuan WFT sebagai ‘Bjorka’ dan bukti perangkat kerasnya bisa menjadi bagian dari jejak sebagian kegiatan, tetapi tidak membuktikan bahwa ia adalah semua sisi dari ‘Bjorka’ [yang asli],” ujar dia kepada wartawan Tirto, Senin (6/9/2025).
Pratama menilai, terlalu dini untuk menyimpulkan bahwa yang ditangkap polisi saat ini adalah Bjorka yang membuat heboh media sosial dan dunia maya Indonesia pada 2022–2023.
Terlebih, klaim dari akun @Bjorkanesiaaa yang meretas data nasabah bank langsung dibantah oleh kanal Telegram Bjorkanism. Pratama memantau, pada saat itu, pemilik kanal Bjorkanism menyampaikan bahwa sangat banyak akun-akun palsu yang menggunakan namanya untuk menipu orang lain.
Kanal Telegram Bjorkanism tersebut juga mengunggah tangkapan layar yang memperlihatkan pertanyaan dari seseorang tentang peretasan ke Bank BCA yang dilakukan oleh akun @Bjorkanesiaaa.
"Pemilik channel Telegram Bjorkanism tersebut membalas jika itu adalah penirunya," ujar Pratama.
Kendati demikian, berdasarkan deskripsi yang disampaikan oleh kepolisian, Pratama menilai tindakan WFT sangat jelas masuk ke ranah kejahatan siber apabila terbukti benar.
Menurut Undang-undang Informasi dan Transaksi Elektronik (UU ITE), Pasal 46 juncto Pasal 30 serta Pasal 48 juncto Pasal 32 dan Pasal 51 Ayat (1) juncto Pasal 35 dapat diterapkan terhadap tindakan akses ilegal, penguasaan data elektronik orang lain, serta penyalahgunaan data dan berita bohong atau ancaman.
"Jika memang terbukti bahwa WFT melakukan pemerasan melalui ancaman penyebaran data (rasioning, extortion) dan penguasaan data ilegal, maka itu jelas merupakan tindak pidana siber yang serius," ucap Pratama.
Fokus pada Penegakan Hukum PDP
Kemunculan kembali akun yang mengaku Bjorka dan merespons penangkapan WFT dengan merilis data 341 ribu anggota Polri adalah sinyal bahwa jaringan atau ekosistem identitas Bjorka tidak sepenuhnya terkonsolidasi ke satu titik.
Pratama menilai hal ini menunjukkan strategi pertahanan digital Indonesia, mulai dari pengawasan, penyelidikan forensik digital, pelacakan transaksi kripto, serta koordinasi lembaga keamanan, masih memiliki celah besar.
Fakta bahwa data yang dibocorkan diklaim berasal dari dokumen periode lama menunjukkan bahwa pelaku ini mungkin menggunakan arsip, rekaman, atau data lama yang pernah bocor sebelumnya sebagai materi propaganda.
"Artinya, kebocoran baru itu bisa jadi bukan benar-benar aksi terbaru atau bukti dominasi atas infrastruktur keamanan Polri saat ini, melainkan upaya messaging bahwa Bjorka belum tertangkap," terang Pratama.
Direktur Kebijakan Publik Raksha Initiatives, Wahyudi Djafar, menilai lepas dari polemik mengenai keaslian dari sosok Bjorka, sepanjang kepolisian memiliki bukti-bukti kuat terkait adanya dugaan tindak pidana yang dilakukan pemilik akun @Bjorkanesiaaa, maka seharusnya proses penegakan hukum dilakukan secara konsisten.
Pasalnya, rentetan kasus yang berkaitan dengan pelindungan data pribadi terus terjadi, bahkan setelah diundangkannya UU Nomor 27/2022 tentang Pelindungan Data Pribadi pada Oktober 2022.
Sayangnya dari berbagai kasus tersebut, kerap kali tidak ada proses hukum yang akuntabel sebagai langkah penyelesaian. Yang terjadi justru kasus terus berulang tanpa diketahui pelaku dan motifnya.
Hal ini berakibat pada korban subjek data pribadi yang tidak dapat mengakses ganti kerugian (pemulihan). Kondisi menjadi kian berlarut-larut dengan tidak kunjung selesainya proses pembentukan Peraturan Pemerintah tentang implementasi UU PDP serta mandeknya pembentukan otoritas PDP.
Melihat konstruksi perkara, Wahyudi memandang tersangka WFT bisa dikenakan ketentuan Pasal 65 (1) juncto Pasal 67 (1) UU PDP dalam proses penegakan hukum pidananya. Ketentuan Pasal 69 UU PDP juga memungkinkan dikenakan pidana tambahan dalam bentuk perampasan harta kekayaan hasil tindak pidana dan/atau pembayaran ganti kerugian.
Artinya, dengan mekanisme ini, korban subjek data pribadi yang dirugikan oleh pelaku, dapat mengajukan restitusi bersamaan dengan proses penegakan hukum pidana.
Kaitannya dengan keaslian akun Bjorka, dalam konteks penanganan kejahatan siber dinilai bukanlah aspek penting yang perlu diperdebatkan. Polisi harus bisa fokus dalam penegakan hukum perlindungan data pribadi.
"Akun @Bjorkanesiaaa menjadi instrumen untuk melakukan suatu tindak kejahatan, jadi apakah penting untuk kemudian memperdebatkan keaslian akun tersebut? Artinya, sepanjang terdapat fakta dan bukti, bahwa akun tersebut diduga melakukan suatu tindak pidana, maka sudah seharusnya penegakan hukum pidana dilakukan," terang Wahyudi kepada wartawan Tirto, Senin (6/9/2025).
Penulis: Mochammad Fajar Nur
Editor: Fadrik Aziz Firdausi
