Kembali Beraksi, Bjorka Klaim Jual 3,2 Miliar Data Peduli Lindungi

Jakarta, FORTUNE – Akun “Bjorka” kembali beraksi mengakali data pribadi institusi di Indonesia. Kali ini, peretas anonim tersebut mengeklaim tengah menjual 3,2 miliar data pengguna aplikasi kesehatan Peduli Lindungi.

Dalam unggahan di situs Breach Forums yang beredar di platform media sosial Twitter, Selasa (15/11), Bjorka menyebut miliaran data yang diretas itu ada di 48 Gigabyte data terkompresi (compressed), dan 157 GB data tak terkompresi (uncompressed).

Data bocor yang berformat CSV itu mencakup nama, alamat surel, nomor induk kependudukan (NIK), nomor telepon, tanggal lahir, identitas perangkat, status Covid-19, riwayat check-in, riwayat penelusuran kontak, sampai status vaksinasi virus corona.

“Sampel data yang ditampilkan juga termasuk milik Johnny G. Plate (Menteri Komunikasi dan Informatika), Luhut Binsar Pandjaitan (Menteri Koordinator bidang Kemaritiman dan Investasi), serta Deddy Corbuzier, (figur publik),” begitu klaim Bjorka dalam unggahan dimaksud.

Redaksi Fortune Indonesia telah berupaya untuk menghubungi pihak Kementerian Kesehatan dan Badan Siber dan Sandi Negara (BSSN) soal dugaan kebocoran data Peduli Lindungi ini. Namun, kedua belah pihak belum memberikan respons sampai artikel ini tayang.

Bjorka mengaku menawarkan sampel data yang terbagi atas lima dokumen, yakni data pengguna mencapai 94 juta, akun sebesar 94 juta, data vaksinasi sekitar 209 juta, data riwayat check-in mencapai 1,3 miliar, dan data riwayat pelacakan kontak sekitar 1,5 miliar. Di sisi lain, data yang bocor ini dijual dengan harga US$100.000 atau sekitar Rp1,6 miliar.

Pakar keamanan siber, Pratama Persadha, dalam keterangan kepada Fortune Indonesia, menyatakan saat data yang bocor tersebut, terutama NIK, dicek dengan menggunakan aplikasi pengecek nomor KTP, maka data dimaksud benar valid terdata di data kependudukan.

“Dan jika diperiksa lebih lanjut pada sample datanya, ada banyak koordinat lokasi yang bertepatan dengan fitur Check-in PeduliLindungi di tempat - tempat publik,” ujar Pratama, Rabu (16/11).

Namun, dia menjelaskan sampai saat ini sumber datanya masih belum jelas. Menurutnya, asli atau tidaknya data ini hanya bisa dijawab oleh instansi yang terlibat dalam pembuatan aplikasi Peduli Lindungi, yaitu Kominfo, Kementerian BUMN, Kementerian Kesehatan, dan Telkom.

“Dan juga sangat disayangkan data yang sangat sensitif ini tidak maksimal pengamanannya. Misalnya, dengan melakukan enkripsi datanya. Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana,” kata Chairman Communication & Information System Security Research Center (CISSReC) ini.

Menurutnya, perlu dilakukan pemeriksaanterhadap sistem informasi dari Peduli Lindungi. Apabila ditemukan celah keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data.

Namun, sebaliknya, jika tidak ditemukan celah keamanan dan jejak digital peretasan, terdapat potensi dugaan kebocoran data ini terjadi karena orang dalam. "Hal ini memang bukan barang baru, karena dalam kebocoran data ada 3 penyebab utama, yaitu peretasan, karena human eror atau tindakan orang dalam dan terakhir karena adanya kesalahan dalam sistem informasi tersebut,” katanya.

Dan bila terjadi kegagalan perlindungan data pribadi, menurut Pratama, berdasarkan Undang-Undang Perlindungan Data Pribadi pasal 46 ayat 1 dan 2, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam. Pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP).

Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya data oleh pengendali data pribadi.

Sebelumnya, Bjorka berulah dengan membocorkan data pengguna dan data transaksi aplikasi MyPertamina, yang berupa sampel data. Itu setelah peretas tersebut mengeklaim membocorkan data pelanggan PLN, Indihome, data registrasi sim card, dan 105 juta data pemilih, hingga data rahasia dan surat untuk presiden.