Kasus kebocoran data pribadi untuk kesekian kalinya semakin menunjukkan urgensi penetapan rancangan undang-undang perlindungan data pribadi, menurut pakar digital forensik Ruby Alamsyah.
Ruby mengungkapkan peretasan data bisa dialami tak hanya oleh masyarakat, namun juga instansi pemerintah maupun swasta. Apalagi, tren kebocoran data selama tiga tahun terakhir “cukup mengkhawatirkan”.
“Sampai saat ini tidak ada [UU PDP] sehingga otomatis yang dirugikan 100% pengguna atau masyarakat itu sendiri, sedangkan pemegang data dan pemroses data, yaitu instansi pemerintah dan industri swasta, mereka tidak memiliki risiko yang terlalu tinggi,” jelas Ruby kepada wartawan BBC News Indonesia, Ayomi Amindoni, Jumat (21/05).
Data sekitar 279 juta warga Indonesia – termasuk mereka yang sudah meninggal dunia – diduga diretas dan dijual di forum daring. Data itu diduga berasal dari badan penyelenggara layanan kesehatan, BPJS Kesehatan.
Kementerian Kominfo melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam.
Pemerintah Indonesia telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut. Ada ‘nama penanggung’ dan ‘nomor kartu’
Kabar peretasan data pribadi penduduk Indonesia yang masif tersebut viral di media sosial sejak Kamis (20/05) pagi, dengan sejumlah warganet menyatakan kekhawatiran akan perlindungan data pribadinya.
Data pribadi 279 juta orang tersebut dijual senilai oleh pengguna forum berbagi database RaidForums dengan akun ‘Kotz’, yang menyebut data tersebut termasuk data penduduk yang sudah meninggal.
“Ada satu juta contoh data gratis untuk diuji,” katanya dalam unggahan pada Rabu (12/05) , Ia menambahkan data tersebut termasuk mereka yang sudah meninggal dunia. Adapun saat ini jumlah populasi Indonesia sebanyak 273 juta penduduk.
“Sebanyak 20 juta memiliki foto pesonal,” kata pengguna tersebut. Unggahan pemilik akun bernama kotz di forum berbagai database RaidForums
Teguh Aprianto, konsultan keamanan siber dan pendiri Ethical Hacker Indonesia menyebut di akun Twitternya bahwa pelaku peretas memang mengaku bahwa “data tersebut bersumber dari BPJS Kesehatan”.
Dari sampel data gratis yang diteliti oleh pakar digital forensik Ruby Alamsyah, ia menyebut ada dugaan kecenderungan data itu mengandung informasi pribadi peserta jaminan layanan kesehatan.
Menurutnya, hal itu dibuktikan dengan adanya informasi tentang apa yang ia sebut sebagai “nama penanggung” dan “nomor kartu” seperti formulir jaminan kesehatan yang dikelola BPJS Kesehatan.
“Nomor kartu yang terisi ataupun terlihat di sana, nomor kartu semuanya memiliki 13 digit nomor, yang mana tiga depan angka pertama adalah nol. Kebetulan noka (nomor kartu) 13 digit dan tiga angka depan nol semua itu mirip dengan instansi pemerintah yang mengelola data asuransi masyarakat, yaitu BPJS,” jelas Ruby.
Merujuk pada kategori dan konten data yang bocor, seperti nama tertanggung, nomor NPWP, tanggal lahir, nomor handphone dan lain-lain, Ruby kemudian membandingkan dengan kategori yang ada pada sistem daring BPJS.
“Itu kita compare, datanya sama, sehingga kuat diduga memeang data tersebut adalah data instansi pemerintah yang menaungi terkait asuransi kesehatan masyarakat, yaitu BPJS,” ungkapnya.
Lebih lanjut, Ruby menjelaskan bahwa pihaknya kemudian mencoba melakukan analisa secara acak data yang ada dalam sampel itu dengan data yang ada di internet. Data tersebut, kata Ruby, “cukup banyak yang valid”.
“Dari beberapa parameter yang kita analisa tadi, kita menduga memang cukup besar kita menduga ini data yang dikelola oleh BPJS,” tegas Ruby.
Dugaan bahwa data itu berasal dari BPJS Kesehatan dikonfirmasi oleh Kementerian Kominfo, yang menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan.
“Hal tersebut didasarkan pada data Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status Pembayaran yang identik dengan data BPJS Kesehatan,” ujar Juru Bicara Kementerian Kominfo, Dedy Permadi, pada Jumat (21/05).
Ia menambahkan, pihaknya telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut.
“Terdapat 3 tautan yang terindetifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com. Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown, sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera,” jelas Dedy. (MP/BBC.COM/ Sumber gambar, Jaap Arriens/NurPhoto via Getty Images)
