Jakarta, FORTUNE – Pakar keamanan siber sekaligus chairman Communication & Information System Security Research Center (CISSReC), Pratama Persadha, mengungkapkan dugaan Bjorka membocorkan 44 juta data MyPertamina.
Bila hal ini benar terjadi, maka pengendali data pengguna–dalam hal ini Pertamina–wajib memberitahukannya secara tertulis kepada subyek data pribadi dan Lembaga Pelaksana Perlindungan Data Pribadi (LPPDP).
Ketentuan itu sebagaimana yang diatur dalam Pasal 46 UU Perlindungan Data Pribadi (PDP) ayat 1 dan 2 dan harus disampaikan paling lambat dalam kurun waktu 3 x 24 jam. “Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi,” ujarnya dalam keterangan resmi yang diterima Fortune Indonesia, Jumat (11/11).
Sebanyak 44 juta data diretas
Hacker Bjorka kembali berulah dengan membocorkan data pengguna dan data transaksi aplikasi MyPertamina, yang berupa sampel data, setelah sebelumnya mengklaim membocorkan data pelanggan PLN, Indihome, data registrasi sim card, dan 105 juta data pemilih, hingga data rahasia dan surat untuk presiden.
Pratama menyampaikan bahwa data yang diklaim oleh Bjorka berjumlah 44,2 juta dengan total ukuran mencapai 30GB bila dalam keadaan tidak dikompres. Data sampelnya dibagi menjadi 2 file yaitu data transaksi dan data akun pengguna.
Data MyPertamina yang diunggah antara lain berisi Nama, Email, NIK (Nomor KTP), NPWP (Nomor Pajak), Nomor Telepon, Alamat, DOB, Jenis Kelamin, Penghasilan (Harian, Bulanan, Tahunan), data pembelian BBM dan masih banyak data lainnya. "Data yang berjumlah 44 juta ini dijual dengan harga US$25.000 atau sekitar Rp400 juta menggunakan mata uang Bitcoin," katanya.
Berdasarkan hasil analisis aplikasi ‘Get Contact’, nomor kontak yang disebar oleh Bjorka sesuai dengan nama pemilik kontak tersebut. Selain itu, berdasarkan NIK di aplikasi ‘Dataku’ juga menunjukkan kecocokan. Dengan demikian, data tersebut bisa dikatakan valid.
“Namun soal asli atau tidaknya data ini yaa hanya Pertamina sendiri yang bisa menjawabnya, karena aplikasi ini dibuat oleh Pertamina yang juga memiliki dan menyimpan data ini,” kata Pratama.
Pengecekan menyeluruh
Menurutnya, pengelola MyPertamina perlu melakukan pengecekan secara menyeluruh. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data.
Namun, sebaliknya bila tidak ditemukan celah keamanan atau peretasan, maka kebocoran ini dicurigai berasal dari orang dalam. “Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana,” katanya.
Hal terpenting yang perlu dilakukan pemerintah pemerintah saat ini dengan membentuk lembaga pengawas PDP. Lembaga ini nantinya tak hanya mengawasi, namun juga melakukan penegakan aturan serta menciptkan standar keamanan tertentu dalam proses pengolahan pemrosesan data.
“Dalam kasus kebocoran data seperti MyPertamina ini, bila ada masyarakat yang dirugikan bisa nantinya melakukan gugatan lewat Komisi PDP,” ujarnya.
Masih investigasi
Sementara itu, Corporate Secretary Pertamina Patra Niaga, Irto Ginting, mengatakan, hingga hari ini, Pertamina masih mendalami proses investigasi dugaan kebocoran data ini.
“Pertamina dan Telkom sedang melakukan investigasi bersama untuk memastikan keamanan data dan informasi terkait MyPertamina,” katanya kepada Fortune Indonesia, Jumat (11/11).
MyPertamina adalah aplikasi yang diluncurkan Pertamina bagi para pelanggan untuk mempermudah mengakses berbagai layanan pengisian Bahan Bakar Minyak (BBM), sekaligus pengaturan kategorisasi subsidi sesuai aturan. Namun, lewat unggahan di situs Breached Forum, hacker Bjorka membuat unggahan baru mengklaim telah memiliki data dari layanan MyPertamina.
