Data Peserta BPJS Bocor, Kominfo Baru Bisa Takedown Dua Akun

LINGGAUPOS.CO.ID – Kementerian Komunikasi dan Informatika (Kominfo) membenarkan bahwa data peserta BPJS Kesehatan dibobol oleh hacker. Data yang seharusnya rahasia itu dijual di forum internet RaidForum oleh akun bernama Kotz.

Akun Kotz menawarkan 279 juta data penduduk Indonesia dengan tanggal posting 12 Mei 2021. Kotz juga mengklaim akan menyediakan 1 juta data yang bisa diunduh gratis sebagai sampel.

Dari link yang diunduh Jawa Pos, data yang disimpan dalam format Microsoft Excel itu memuat informasi seperti nama, nomor kepesertaan, nomor telepon, dan sebagainya.

Kabar itu sebenarnya telah mencuat pada 20 Mei. Kominfo juga melakukan investigasi beberapa hari yang lalu. Namun, baru kemarin Kominfo mengonfirmasi bahwa data peserta BPJS Kesehatan benar-benar bocor dan dimiliki Kotz.

”Akun Kotz sendiri merupakan pembeli dan penjual data pribadi (reseller),” kata Jubir Kominfo Dedy Permadi.

Dia menyebutkan, data sampel yang ditemukan tidak berjumlah 1 juta seperti klaim penjual. Yang benar hanya 100.002 data. Hal tersebut didasarkan pada data noka (nomor kartu), kode kantor, data keluarga/data tanggungan, dan status pembayaran yang identik dengan data BPJS Kesehatan.

Dedy menyatakan, pihaknya telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas. Caranya adalah dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut. Terdapat tiga tautan yang teridentifikasi, yakni bayfiles.com, mega.nz, dan anonfiles.com. Hingga tadi malam baru dua tautan pertama yang bisa di-takedown.

Dedy menyebut, Kominfo telah memanggil direksi BPJS Kesehatan. Pemanggilan itu merupakan bagian dari proses investigasi secara lebih dalam sesuai amanat PP 71 Tahun 2019.

Indonesia sendiri belum memiliki aturan soal perlindungan data pribadi karena draf RUU Perlindungan Data Pribadi (PDP) belum disahkan DPR.

Payung hukum yang dimiliki hanya PP 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Dalam aturan tersebut, PSE atau penyelenggara sistem elektronik yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain.

Selain itu, PSE wajib menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi jika diketahui terjadi kegagalan perlindungan data pribadi.

Sementara itu, BPJS Kesehatan masih melakukan klarifikasi atas kebocoran data pesertanya. ’’Masih diselidiki,’’ kata Kepala Humas BPJS Kesehatan M. Iqbal Anas Ma’ruf kepda Jawa Pos kemarin.

Dia menyatakan bahwa lembaganya mengerahkan tim khusus untuk menyelidiki kasus tersebut. Tim itu merupakan tim internal, belum melibatkan kepolisian. ’’Penelusuran lebih lanjut ini untuk memastikan apakah data tersebut dari BPJS Kesehatan atau bukan,’’ ujarnya.

Dalam informasi yang beredar disebutkan, ada 279 juta data peserta BPJS Kesehatan yang terindikasi bocor. Padahal, sampai Mei 2021, peserta BPJS Kesehatan hanya 222,4 juta jiwa. Dia menegaskan, BPJS Kesehatan konsisten memastikan keamanan data peserta.

Server yang dimiliki disimpan dalam big data yang kompleks. BPJS Kesehatan juga mengklaim memiliki sistem pengamanan data yang ketat dan berlapis. ’’Di samping itu, kami berkoordonasi dengan pihak terkait untuk memberikan perlindungan data yang lebih maksimal,’’ tuturnya.

Pada bagian lain, Kadivhumas Polri Irjen Argo Yuwono memastikan bahwa Polri telah mengecek kasus kebocoran data tersebut. ”Dicek data kependudukan mana yang bocor,” terangnya.

Kanit II Subdit II Direktorat Tindak Pidana Siber (Dittipid Siber) Bareskrim AKBP Idam Wasiadi menjelaskan, pihaknya kini memburu pembobol data tersebut. ’’Ini salah satu contoh kejahatan siber murni. Tidak akan dibiarkan,” tegasnya.

Kasus semacam itu, lanjut dia, tidak perlu menunggu laporan. Dittipid Siber akan proaktif mengusut dan memburu dalang pencurian data tersebut. ”Semua ini perlu penyidik yang andal,” paparnya.

Kasus kebocoran data itu sangat bergantung pada penyidik yang menangani. Sebab, kasus tersebut memiliki tingkat kesulitan yang berbeda dengan pencemaran nama baik atau hoax. ”Kalau pencemaran nama baik, orangnya kerap kali sudah jelas,” ujarnya.

Berbeda halnya dengan kasus pembobolan data identitas penduduk. Biasanya, pelaku menggunakan akun anonymous. Sistem pembayarannya menggunakan cryptocurrency seperti bitcoin dan lainnya. Penggunaan bitcoin sebagai pembayaran jelas untuk mempersulit pelacakan.

RaidForum

Forum-forum internet sejenis RaidForum dikenal sebagai pusat jual beli data ilegal. Forum-forum itu bahkan belum berada di wilayah dark web atau internet dalam (deep web). Artinya, masih bisa diakses dengan jaringan internet publik maupun mesin pencari biasa.

’’Tapi, rata-rata penggiat forumnya memang peselancar dark web. Karena customer mereka tidak semuanya bisa mengakses dark web,” jelas Chairman Lembaga Riset Siber Indonesia Communication and Information System Security Research Center (CISSRec) Pratama Persadha.

Beberapa forum besar adalah CrackingMount, Sinister, dan Cracking Portal. Namun di antara forum tersebut, RaidForum memang salah satu yang terkenal. Dalam forum-forum tersebut, beberapa akun biasanya mengumumkan bahwa mereka memiliki sejumlah data yang bisa dibeli dengan harga tertentu.

Proses pembayaran dilakukan dengan alat pembayaran (currency) khusus atau dengan alat pembayaran online lainnya. ’’Dan harganya sebenarnya enggak terlalu mahal,” jelasnya.

Pratama menyebut bahwa Kotz adalah salah satu contoh akun yang telah memperoleh sejumlah besar data dan menawarkannya di dalam RaidForum. Para pelanggan sebelum membeli tetap akan mempertimbangkan banyak hal.

Misalnya, kredibilitas akun penjual, rating, serta masa membership sebelum membeli data atau informasi-informasi lain yang dijual. Para penjual data tersebut, kata Pratama, biasanya menampilkan link untuk mengunduh sebagian kecil data dari klaster yang dijual sebagai tester atau sampel untuk meyakinkan calon pembeli.

Dari informasi yang dihimpun Jawa Pos, jika ada satu anggota forum yang tertarik membeli data tersebut, transaksi akan dilanjutkan pada komunikasi yang lebih rahasia. Biasanya melalui platform Telegram. Dalam komunikasi tersebut, dibahas soal harga dan pengiriman data.

Menurut pakar digital forensik Ruby Alamsyah, RaidForum masih bisa dikatakan forum bagi kalangan awam. ’’Masih banyak data yang jauh lebih sensitif di deep web dan dark web. Misalnya, data-data penegakan hukum, intel, dan data-data negara,” jelasnya.

Pratama maupun Ruby sepakat bahwa hal yang paling penting dimiliki untuk mencegah kebocoran data-data itu adalah segera disahkannya Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi (PDP).

Menurut Pratama, jika ada kasus kebocoran data, pemilik platform pengumpul data hanya bersikap seolah sebagai korban. Padahal, seharusnya merekalah yang bertanggung jawab. ’’Anda sudah diberi kewenangan memegang sekian banyak data masyarakat, ya Anda harus tanggung jawab,” jelas Pratama.

Kondisi tanpa aturan PDP itu, kata Pratama, bakal menimbulkan banyak korban. Selain memberikan banyak info valid ribuan calon korban baru, para penipu akan semakin mudah meyakinkan calon korbannya jika memiliki berbagai nomor otentikasi.

Bocornya data nomor telepon juga bisa digunakan untuk mengakses berbagai layanan online yang menggunakan otentikasi nomor telepon. ’’Akan banyak masyarakat yang tertipu pinjaman online-lah, iuran, belum lagi pembayaran seperti Gopay,” katanya.(jawapos.com)

Rekomendasi Berita