Sebanyak 19,564 juta data pengguna Badan Penyelenggara Jaminan Sosial (BPJS) Ketenagakerjaan bocor dan dijual di forum gelap Rp153 jutaan.
Dalam sebuah unggahan di BreachForums, akun bernama Bjorka membocorkan 19,5 juta data dengan nama ‘BPJS Ketenagakerjaan Indonesia 19 Million’.
Ia juga membagikan 100 ribu sampel yang berisi NIK, nama lengkap, tanggal lahir, alamat, nomor ponsel, alamat email, jenis pekerjaan dan nama perusahaan.
“Jika Anda ingin membeli database, silahkan hubungi saya di Telegram,” ujar Bjorka dalam postingannya.
Bjorka menjual 19,5 juta data BPJS Ketenagakerjaan itu dengan harga US$10.000 atau senilai Rp153 jutaan, namun hanya bisa transaksi dalam bentuk Bitcoin.
Pengunggah menjelaskan data file yang bocor itu berukuran 5GB, yang dibocorkan pada Maret 2023.
Dihubungi CNNIndonesia.com, pakar keamanan siber dari Chairman Communication & Information System Security Research Center (CISSReC) Pratama Persadha mengungkapkan sampel dari 19,5 juta data BPJS Ketenagakerjaan yang bocor adalah valid.
Hal itu berdasarkan penelusuran Pratama lewat berbagai platform untuk mengecek kebenaran data yang dijual Bjorka di situs gelap.
“Ketika sampel datanya dicek secara acak dengan aplikasi GetContact, maka nomor tersebut benar menunjukan nama dari pemilik nomor tersebut. Selain itu dicek NIK lewat aplikasi Dataku juga cocok. Berarti sampel data yang diberikan oleh Bjorka merupakan data yang valid,” ujar dia, Selasa (14/3).
Namun Pratama menjelaskan sampai saat ini sumber datanya masih belum jelas. Menurutnya, jalan terbaik saat ini melakukan audit dan investigasi digital forensic untuk memastikan dari mana kebocoran data ini berasal.
Dia menilai kebocoran data sensitif ini bisa berdampak buruk bagi para korban, seperti penipuan identitas atau pencurian uang dari rekening bank.
Lebih lanjut ia menjelaskan dengan belum dibentuknya Komisi Perlindungan Data Pribadi (PDP), para pihak Penyelenggara Sistem Elektronik (PSE) masih bisa mengelak.
“Namun jika nanti Komisi PDP terbentuk, maka investigasi bisa dilakukan atas permintaan masyarakat sebagai pihak yang dirugikan,” katanya.
Dengan demikian Pratama menilai pemerintah segera membentuk Komisi PDP yang bertugas menegakkan UU PDP di Indonesia.
“Memang UU PDP baru bisa berlaku efektif 2 tahun kedepan. Namun jika dilihat kondisi saat ini seharusnya pemberlakuannya bisa dipercepat,” kata dia.
Sebelumnya, Bjorka juga sempat mencuat karena membocorkan sederet data perusahaan seperti MyPertamina hingga Indihome pada 2022. Selain itu Bjorka juga membobol 1,9 miliar data pribadi pengguna telepon seluler di Indonesia pada 2022.
Tak hanya itu, ia juga membocorkan data pribadi dari sejumlah pejabat dalam negeri seperti Menteri Komunikasi dan Informatika (Menkominfo) Johnny G Plate hingga Menkomarves Luhut Binsar Padjaitan.
Sebelumnya, BPJS Kesehatan diduga sempat mengalami pembobolan data pada Mei 2021. Data yang bocor itu sebanyak 279 juta dan dijual di forum hacker.
Dewan Pengawas (Dewas) BPJS Kesehatan mencermati risiko keamanan nasional pada isu kebocoran data yang diduga milik BPJS Kesehatan.