Kominfo Benarkan 279 Data Penduduk yang Bocor Berasal dari BPJS Kesehatan, Ini Kata Analis
Akun bernama Kotz memberikan akses download secara gratis untuk file sebesar 240 MB yang berisi satu juta data pribadi masyarakat Indonesia.
lihat foto
TRIBUNTERNATE.COM - Masyarakat Indonesia kembali dilejutkan dengan kabar bocornnya data pribadi. Satu juta data pribadi yang diduga adalah data dari BPJS Kesehatan diunggah di internet.
Akun bernama Kotz memberikan akses download secara gratis untuk file sebesar 240 MB yang berisi satu juta data pribadi masyarakat Indonesia.
File tersebut dibagikan sejak 12 Mei 2021 dan dalam sepekan ini ramai menjadi perhatian publik. Akun tersebut mengklaim mempunyai lebih dari 270 juta data lainnya yang dijual seharga 6 ribu dollar AS.
Kementerian Komunikasi dan Informatika (Kominfo) pun telah memastikan data yang bocor di Raid Forums adalah milik Badan Penyelenggaraan Jaminan Sosial (BPJS) Kesehatan.
Kepastian itu berdasarkan temuan dan analisa yang dilakukan terhadap 1 juta sampel data yang dibagikan secara gratis oleh akun bernama Kotz di Raid Forums.
Juru Bicara Kementerian Kominfo Dedy Permadi menyampaikan ada 100.002 data penduduk Indonesia yang telah terkonfirmasi dari satu juta data itu.
"Bahwa 100.002 data pribadi ini diduga kuat berasal dari data BPJS Kesehatan," ujar Dedy, Jumat (21/5/2021).
Dedy menyampaikan jika data itu diduga kuat berasal dari BPJS karena sejumlah data yang dibocorkan Kotz terkumpul nomor kartu peserta BPJS, kode kantor BPJS, data keluarga, tanggungan jaminan kesehatan, hingga status pembayaran jaminan.
Sementara itu, dari total kebocoran 279 juta data yang diperjualbelikan dalam dua hari terakhir itu merupakan gabungan dari peretas lain.
Artinya ada data lain yang digabungkan dengan data milik BPJS Kesehatan
Menindaklanjuti hal ini, Kominfo menyatakan telah melayangkan perintah pemanggilan kepada direksi BPJS Kesehatan.
Langkah itu merupakan upaya untuk meminta klasifikasi perihal data yang bocor di Raid Forums.
"Pada hari ini Kominfo memanggil direksi BPJS Kesehatan untuk menyampaikan penjelasan terkait dengan dugaan kebocoran data ini," ujarnya menambahkan.
Lebih jauh lagi, hasil penelusuran Kominfo menyebut bahwa akun Kotz adalah penjual dan membeli data-data pribadi. Tak hanya dari Indonesia, Kotz disebut juga membeli data dan mejual data pribadi di negara lain lewat Raid Forums.
"Berdasarkan jejak digital yang ditelusuri oleh Kominfo maka user atas nama Kotz telah melakukan aktivitas pembelian dan penjualan data pribadi dalam kurun waktu beberapa bulan terakhir. Data yang dijual tak hanya dari Indonesia, ada data dari luar negeri yang dijual oleh akun tersebut," imbuh Dedy.
Dedy menambahkan berdasarkan PP 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, PSE (Penyelenggara Sistem Elektronik) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain.
Kata Analis
Dalam keterangannya pada Jumat (21/5/2021) pakar keamanan siber Pratama Persadha menjelaskan bahwa benar tidaknya itu data BPJS Kesehatan, sebaiknya kita tunggu keterangan resmi sembari mungkin dilakukan digital forensik.
"Bila dicek, data sample sebesar 240MB ini berisi nomor identitas kependudukan (NIK), nomor HP, alamat, alamat email, Nomor Pokok Wajib Pajak (NPWP), tempat tanggal lahir, jenis kelamin, jumlah tanggungan dan data pribadi lainnya yang bahkan si penyebar data mengklaim ada 20 juta data yang berisi foto,” terang chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center) ini.
Pratama menambahkan, dalam file yang didownload tersebut ada data NOKA atau nomor kartu BPJS kesehatan. Menurut klaim pelaku, dirinya mempunyai data file sebanyak 272.788.202 juta penduduk. Pratama melihat hal ini aneh bila akun Kotz mengaku mempunyai 270 juta lebih data serupa, padahal anggota BPJS kesehatan sendiri di akhir 2020 adalah 222 juta.
“Dari nomor BPJS Kesehatan yang ada di file bila dicek online ternyata datanya benar sama dengan nama yang ada di file. Jadi memang kemungkinan besar data tersebut berasal dari BPJS Kesehatan,” jelasnya.
"Data dari file yang bocor dapat digunakan oleh pelaku kejahatan. Dengan melakukan phishing yang ditargetkan atau jenis serangan rekayasa sosial (Sosial Engineering). Walaupun didalam file tidak ditemukan data yang sangat sensitif seperti detail kartu kredit namun dengan beberapa data pribadi yang ada, maka bagi pelaku penjahat dunia maya sudah cukup untuk menyebabkan kerusakan dan ancaman nyata," terang Pratama.
Dijelaskan olehnya, pelaku kejahatan dapat menggabungkan informasi yang ditemukan dalam file CSV yang bocor dengan pelanggaran data lain untuk membuat profil terperinci dari calon korban mereka.
Seperti data dari kebocoran Tokopedia, Bhinneka, Bukalapak dan lainnya.
Dengan informasi seperti itu, pelaku kejahatan dapat melakukan serangan phising dan social engineering yang jauh lebih meyakinkan bagi para korbannya.
"Yang jelas tidak ada sistem yang 100% aman dari ancaman peretasan maupun bentuk serangan siber lainnya. Karena sadar akan hal tersebut, maka perlu dibuat sistem yang terbaik dan dijalankan oleh orang-orang terbaik dan berkompeten agar selalu bisa melakukan pengamanan dengan standar yang tinggi,” tegas Pratama.
Ditambahkan olehnya, kejadian semacam ini harusnya tidak terjadi pada data yang dihimpun oleh negara.
Sebaiknya mulai saat ini seluruh instansi pemerintah wajib bekerjasama dengan BSSN untuk melakukan audit digital forensic dan mengetahui lubang-lubang keamanan mana saja yang ada.
Langkah ini sangat perlu dilakukan untuk menghindari pencurian data di masa yang akan datang.
“Pemerintah juga wajib melakukan pengujian sistem atau Penetration Test (Pentest) secara berkala kepada seluruh sistem lembaga pemerintahan. Ini sebagai langkah preventif sehingga dari awal dapat ditemukan kelemahan yang harus diperbaiki segera,” jelasnya.
Menurut Pratama, pemguatan sistem dan SDM harus ditingkatkan, adopsi teknologi utamanya untuk pengamanan data juga perlu dilakukan.
Indonesia sendiri masih dianggap rawan peretasan karena memang kesadaran keamanan siber masih rendah.
Yang terpenting dibutuhkan UU PDP yang isinya tegas dan ketat seperti di Eropa.
Ini menjadi faktor utama, banyak peretasan besar di tanah air yang menyasar pencurian data pribadi.
“Prinsipnya, memang data pribadi ini menjadi incaran banyak orang. Sangat berbahaya bila benar data ini bocor dari BPJS. Karena datanya valid dan bisa digunakan sebagai bahan baku kejahatan digital terutama kejahatan perbankan. Dari data ini bisa digunakan pelaku kejahatan untuk membuat KTP palsu dan kemudian menjebol rekening korban,” imbuhnya.
Tentu kita tidak ingin kejadian ini berulang, karena itu UU PDP sangat diperlukan kehadirannya, asalkan mempunyai pasal yang benar-benar kuat dan bertujuan mengamankan data masyarakat.
Artikel ini telah tayang di Tribunnews.com dengan judul Kominfo: Fix, Data yang Bocor di Internet Memang Milik BPJS Kesehatan, Direksi Akan Dipanggil
Artikel ini telah tayang di Tribunnews.com dengan judul Analis: Bocornya Data BPJS Kesehatan Bukti Lemahnya Perlindungan Data Pribadi di Indonesia
