Aksi Bjorka menjajakan data yang diduga berasal dari aplikasi PeduliLindungi mengundang pertanyaan. Bagaimana data tersebut bisa bocor?
Menurut pakar keamanan siber Pratama Persadha, Bjorka sebelumnya memang sudah berjanji untuk membocorkan data aplikasi PeduliLindungi ke publik setelah ia membocorkan data MyPertamina.
Ada 3,2 miliar data yang dibocorkan, terbagi ke dalam data Nama, Email, NIK (Nomor KTP), Nomor Telepon, Tanggal Lahir, Identitas Perangkat, Status COVID-19, Riwayat Checkin, Riwayat Pelacakan Kontak, Vaksinasi dan masih banyak data lainnya.
“Data yang berjumlah 3,2 miliar ini dijual dengan harga USD 100.000 atau sekitar 1,5 miliar rupiah menggunakan menggunakan mata uang Bitcoin”, terang chairman lembaga riset siber Communication & Information System Security Research Center (CISSReC) tersebut, dalam keterangan yang diterima detikINET, Rabu (16/11/2022).
Pratama mengemukakan, data yang diklaim oleh Bjorka berjumlah 3.250.144.777 data dengan total ukuran mencapai 157 GB bila dalam keadaan tidak dikompres. Data sampelnya dibagi menjadi 5 file yaitu Data Pengguna sebanyak 94 juta, Akun yang sudah disortir sebanyak 94 juta, Data Vaksinasi 209 juta, Data Riwayat Check-In 1,3 miliar, dan Riwayat Pelacakan Kontak sebanyak 1,5 miliar.
“Saat dicek apakah data ini valid menggunakan aplikasi pengecek nomor KTP, maka data ini benar valid terdata di data kependudukan. Dan jika diperiksa lebih lanjut pada sample datanya, ada banyak kordinat lokasi yang bertepatan dengan fitur Check-in PeduliLindungi di tempat-tempat publik,” tambahnya.
Ia menambahkan, keaslian data ini hanya bisa diungkap oleh instansi yang terlibat dalam aplikasi PeduliLindungi, yaitu Kominfo, Kemen BUMN, Kemenkes, dan Telkom. Ia pun menyayangkan data yang yang sangat sensitif ini tidak maksimal pengamanannya, misalnya dengan melakukan enkripsi datanya.
“Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana,” tambah pria asal Cepu, Jawa Tengah ini.
Sistem informasi dari PeduliLindungi pun menurut Pratama perlu dicek, apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data. Namun dengan pengecekan yang menyeluruh dan digital forensic, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam.
“Hal ini memang bukan barang baru, karena dalam kebocoran data ada 3 penyebab utama, yaitu peretasan, karena human eror atau tindakan orang dalam dan terakhir karena adanya kesalahan dalam sistem informasi tersebut,” kata dia.
Jadi setiap kebocoran data tidak selalu disebabkan oleh serangan siber oleh para peretas. Namun bila serangan oleh para peretas, itu pun tidak langsung bisa diidentifikasi para penyerangnya. Ini juga terkait sejauh mana kemampuan dari si peretas.
“Dan bila benar ini data PeduliLindungi, maka berlaku pada Pasal 46 UU PDP ayat 1 dan 2, yang isinya bahwa dalam hal terjadi kegagalan perlindungan data pribadi maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam. Pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi,” tutupnya.