Soal 105 Juta Data KPU yang Dibobol, Ulah 'Orang Dalam'?

Uzone.id - Entah sampai kapan kabar kebocoran data akan mereda, tapi kali ini masyarakat Indonesia kembali mendapati laporan peretasan 105 juta data KPU oleh hacker Bjorka.

Hacker yang juga membobol 1,3 miliar data kartu SIM ini belum puas bermain-main dengan sistem keamanan Indonesia. Kali ini, data-data berukuran 4GB tersebut dijual USD5000 atau sekitar Rp75 jutaan di hack forum, Breached.to.

Dari total 105 juta data pemilih yang dibocorkan, Bjorka memberikan sampel gratis berjumlah 1.048.576 data pemilih dari berbagai provinsi dan dikumpulkan dalam file exel sebesar 75 MB saja. 

Data apa saja yang ada dalam file tersebut?

"Data yang diunggah yaitu provinsi, kota, kecamatan, kelurahan, TPS, NIK-KK, nama, tempat lahir, tanggal lahir, usia, jenis kelamin dan alamat. Data berjumlah 105.003.428 ini dijual dengan  harga US$ 5.000 dalam file sebesar 4GB saja bila dalam keadaan dikompres", terang chairman lembaga riset siber CISSReC, Pratama Persadha kepada Uzone.id.

Soal kevalidan datanya, Pratama menyebutkan kalau data-data ini bisa dicek validitasnya misalnya dengan data lain hasil kebocoran data seperti 91 juta data Tokopedia yang bocor pada awal 2020 atau data bocor registrasi sim card. 

Baca juga: 105 Juta Data KPU Dibobol Hacker (Lagi), Datanya Diklaim Valid

“Bjorka sendiri juga membuka akses telegram grup bagi siapapun yang ingin menguji validitas data yang dijualnya. Anggota grup bisa meminta request dengan nama maupun NIK dan Bjorka akan memberikan datanya secara spesifik lengkap,” tambahnya.

Mengenai kevalidan data KPU ini, pengamat siber lainnya, Alfons Tanujaya menyebutkan kalau beberapa NIK yang diberikan dalam sample database valid semua.

“Saya sudah cek beberapa NIK yang diberikan dalam sample database data NIK yang saya cek valid semua,” ujarnya.

Terus, dari mana asal-muasal data-data ini?

"Ada beberapa institusi yang memiliki data ini, yaitu KPU, Dukcapil, Bawaslu, bisa jadi juga Partai Politik dan lembaga lain, KPU lebih tahu soal ini. Sepertinya perlu diaudit satu per satu agar tahu dimana kebocorannya,” jelas Pratama.

Alfons pun memiliki dugaan serupa, bahwa datanya kemungkinan besar memang data KPU karena disana ada informasi TPS.

Yang bisa dilakukan KPU adalah melakukan pengecekan apakah ada anomaly traffic (traffic tak biasa) atau tidak.

Bila tidak ada maka terbuka kemungkinan terjadi insider threat attack, tambah Pratama. 

Insider threat attack ini merupakan serangan yang melibatkan pihak yang memiliki akses ke informasi sensitif, bisa jadi itu adalah karyawan, rekan bisnis ataupun mantan karyawan yang memiliki akun istimewa di dalam organisasi tersebut.

Baca juga: Umpatan Menohok Hacker buat Kominfo

Sederhananya, bisa jadi serangan ini melibatkan orang dalam organisasi tersebut.

Pratama menggarisbawahi hal ini penting diinvestigasi mengingat saat ini situasi politik tanah air sudah mulai menghangat. 

“Jangan sampai data pemilih bocor ini menjadi hal yang kontraproduktif pada proses penyelenggaraan pemilu,” tambahnya.

Namun, ia menyebut ada hal yang mengganjal mengenai jumlah kebocoran data KPU ini.

“Ada hal mengganjal soal jumlah data 105 juta, padahal total pemilih 2019 saja sudah 192 juta. Artinya ada 87 juta lebih data yang belum ada. Saya sudah coba mengkonfirmasi ke Bjorka namun belum mendapat jawaban,” terangnya.

Sementara itu, Pratama meminta BSSN juga harus masuk lebih dalam pada berbagai kasus kebocoran data di tanah air, minimal menjelaskan ke publik bagaimana dan apa saja yang dilakukan berbagai lembaga publik yang mengalami kebocoran data akibat peretasan.

Apalagi saat ini RUU PDP belum disahkan, sehingga tidak ada upaya memaksa dari negara kepada peneyelenggara sistem elekntronik (PSE) untuk bisa mengamankan data dan sistem yang mereka kelola dengan maksimal atau dengan standar tertentu.

"Jika bicara soal sanksi kebocoran data maka sementara ini yang bisa dipakai permenkominfo nomor 20 tahun 2016, karena UU PDP sampai saat ini belum disahkan. Adapun sanksi dalam permen tersebut hanya sanksi administrasi diumumkan ke publik, yang paling tinggi dihentikan operasionalnya sementara," jelasnya.

Ada juga Pasal 100 ayat (2) PP Nomor 71 Tahun 2019 tentang PSTE (Penyelenggara Sistem Transaksi Elektronik) yang berisi pemberian sanksi administrasi atas beberapa pelanggaran perlindungan data pribadi yang dapat berupa teguran tertulis, denda administratif, penghentian sementar, pemutusan akses dan dikeluarkan dari daftar.