Tak kurang dari sebulan, Presiden Republik Indonesia Joko "Jokowi" Widodo akan segera mengakhiri masa jabatannya. Ia akan digantikan oleh presiden terpilih, Prabowo Subianto yang bakal dilantik pada 20 Oktober 2024. Sepanjang masa kepemimpinan Jokowi selama satu dekade hingga masa transisi, isu keamanan siber, mulai dari segi ethical hacking, perlindungan keamanan siber, dan penyalahgunaan data pribadi masih menjadi momok yang menakutkan. Kasus kebocoran data seakan bak penyakit menahun yang menggerogoti struktur keamanan siber, mulai dari level terkecil seperti grup media sosial hingga instansi pemerintahan. Terbaru, sebanyak 6 juta data nomor pokok wajib pajak (NPWP) diperjualbelikan, menurut laporan dari akun anonim Bjorka pada Rabu, 18 September 2024. Data yang bocor tersebut mencakup informasi pribadi wajib pajak, termasuk kabarnya data milik Jokowi juga tersedia.
Sesuai dengan amanat konstitusi yang tercantum dalam Pasal 28G ayat 1 UUD NRI 1945 menyatakan bahwa setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi. Kasus kebocoran data pribadi ini menunjukkan bahwa pemerintah tampaknya tidak belajar dari masalah-masalah sebelumnya. Kasus kebocoran data terus berulang bahkan ketidakbecusan itu membuat masyarakat sebagai warga negara jadi taruhannya. Lantas, apa saja insiden kebocoran data selama kurun waktu 5 tahun terakhir di masa kepemimpinan Presiden Joko Widodo? Mari simak ulasan berikut!
1. Transaksi jual beli ribuan data berupa NIK dan KK mencuat pada 2019 bermula dari grup Facebook dan situs temanmarketing
ilustrasi media sosial Facebook (unsplash.com/Timothy Hales Bennett) Kasus dugaan jual beli data kependudukan melalui grup Facebook bernama Dream Market Official menjadi viral di dunia maya medio 2019. Selain itu, terdapat pula praktik jual beli data pribadi melalui situs temanmarketing.com yang berujung pada penangkapan seorang penjual berinisial C. Polisi berhasil menangkap pelaku di daerah Cilodong, Depok, Jawa Barat, pada 6 Agustus 2019.
Tersangka C diketahui menyimpan jutaan data pribadi warga Indonesia, termasuk 761 ribu nomor HP, 129 ribu kartu kredit, 1,1 juta NIK (Nomor Induk Kependudukan), 50 ribu nomor KK (Kartu Keluarga), dan 64 ribu nomor rekening. Data tersebut dijual dalam paket dengan harga bervariasi, mulai dari Rp350 ribu hingga Rp20 juta tergantung jumlah data yang berkisar antara 1.000 hingga 50 juta data. Pelaku dikenakan Pasal 48 ayat (2) jo Pasal 32 ayat 2 Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik serta Pasal 95A UU Nomor 24 Tahun 2013 tentang Perubahan atas UU Nomor 23 Tahun 2006 tentang Administrasi Kependudukan.
Sebelumnya, informasi mengenai jual beli data pribadi, termasuk KK dan NIK, juga sempat beredar di media sosial. Pemilik akun Twitter @hendralm mengunggah bukti percakapan jual beli data di grup Facebook Dream Market Official pada 26 Juli 2019. Disebutkan bahwa NIK dan KK tersebut digunakan untuk mendaftar ke berbagai aplikasi. Namun, Kementerian Dalam Negeri (Kemendagri) membantah adanya kebocoran data. Dirjen Dukcapil kala itu, Prof. Zudan Arif Fakrulloh, menegaskan bahwa data kependudukan yang diperjualbelikan bukan berasal dari Dukcapil karena sistem pengamanan data center Dukcapil memiliki beberapa lapisan keamanan, termasuk pemindaian sidik jari tiga kali sebelum bisa mengakses data.
Baca Juga: 4 Kendala Simulasi ANBK Daring 2024 dan Cara Mengatasinya
2. Data pasien terinfeksi virus corona dijual di forum dark web RaidForums pada 2020
ilustrasi hacker (unsplash.com/Kasia Derenda) Another day, another data leaks. Di tengah pandemik COVID-19, data pasien yang terinfeksi virus Corona diduga dijual oleh peretas di forum dark web RapidForums. Data yang bocor tersebut tergolong sangat lengkap, mencakup nama, status kewarganegaraan, tanggal lahir, usia, nomor telepon, alamat rumah, Nomor Identitas Kependudukan (NIK), hingga hasil tes COIVD-19. Informasi tambahan, seperti gejala, tanggal mulai sakit, dan tanggal pemeriksaan juga termasuk dalam basis data tersebut.
Penjual yang menggunakan nama akun Database Shopping mengklaim bahwa kebocoran data terkait COVID-19 mulai terjadi sejak 20 Mei 2020. Namun, ia baru mulai menjual data pasien atau warga yang terdampak pada 18 Juni 2020. Saat ini, penjual tersebut menguasai sekitar 230 ribu data warga Indonesia terkait COVID-19. Di sisi lain, data resmi pemerintah menunjukkan bahwa tes PCR yang telah dilakukan di Indonesia mencakup 366.581 orang. Pratama Persadha, seorang pengamat keamanan siber dari CISSRec, menilai bahwa peretasan dan penjualan data pasien COVID-19 di Indonesia sangat berbahaya, terutama karena informasi yang dicuri dan dijual sangat lengkap.
3. Data BPJS Kesehatan, Polri, dan data KPAI juga diduga bocor pada tahun 2021
Logo Komisi Perlindungan Anak Indonesia (KPAI) (commons.wikimedia.org/Komisi Perlindungan Anak Indonesia) Database Komisi Perlindungan Anak Indonesia (KPAI) diduga mengalami kebocoran dan diperjualbelikan di situs jual beli data ilegal yang sering digunakan oleh peretas, yaitu RaidForums. Data tersebut diunggah pada 13 Oktober 2021 malam oleh akun C77 dengan nama "Leaked Database KPAI (kpai.go.id)." Kebocoran data ini kemudian menjadi viral di Twitter.
Data yang dibocorkan diduga berisi identitas pribadi orang-orang yang pernah mengajukan pengaduan ke KPAI. Akun C77 yang mengunggah kebocoran ini juga menyebutkan bahwa terdapat lebih banyak data dari situs pemerintah lainnya yang turut bocor. Setelah dilakukan penelusuran, data yang bocor mencakup informasi, antara lain nama, nomor KTP, kewarganegaraan, nomor telepon, agama, pekerjaan, pendidikan, alamat, email, tempat dan tanggal lahir, jenis kelamin, hingga kota tempat tinggal. Data ini berpotensi besar disalahgunakan secara online, misalnya untuk penipuan yang sering terjadi akhir-akhir ini.
Pada Mei 2021, sebanyak 279 juta data penduduk Indonesia juga diduga bocor dan dijual di RaidForums, termasuk data milik BPJS Kesehatan. Selain itu, sejumlah data lainnya, seperti 91 juta data pengguna Tokopedia yang bocor pada Maret 2020 dan dijual oleh akun bernama Whysodank, juga pernah diperdagangkan di sana. Data tersebut meliputi ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone, dan password yang tersandi, dijual dengan harga sekitar 5 ribu dolar Amerika Serikat atau Rp74 juta. Selain itu, ada pula 13 juta data pengguna Bukalapak, 2,3 juta data pemilih Pemilu 2014, 230 ribu data pasien COVID-19, dan 1,2 juta data pengguna Bhineka yang turut dijual di forum ini. Pemerintah melalui Kominfo telah memblokir akses ke RaidForums pada Mei 2021.
Pada November 2021, data Polri juga diduga diretas oleh hacker asal Brasil yang sebelumnya juga pernah meretas Badan Siber dan Sandi Negara (BSSN). Dugaan ini muncul dari unggahan akun Twitter @son1x777 yang mengklaim bahwa sekitar 28.000 akun dan data pribadi, termasuk informasi penting dari personel Polri, mulai dari nama, NRP, pangkat, jabatan, dan kontak, telah bocor. Data ini diduga berkaitan dengan pelanggaran internal di Polri.
4. Data pelanggan PLN berhasil disabet hacker pada tahun 2022
Pada Agustus 2022, muncul berita mengenai dugaan kebocoran data pelanggan PT Perusahaan Listrik Negara (PLN) yang diduga dijual secara ilegal. Dugaan ini mencuat setelah tangkapan layar dari situs breached.to yang menampilkan akun @loliyta beredar di media sosial. Akun tersebut mengklaim telah mencuri 17 juta data pelanggan PLN di forum hacker bernama Breach Forum. Pelaku menawarkan berbagai jenis data pelanggan, seperti ID lapangan, ID pelanggan, nama konsumen, alamat, tipe energi, nomor meter, dan jumlah KWH.
Dirjen Aplikasi Informatika, Semuel A. Pangerapan, menyatakan bahwa pihaknya telah memanggil manajemen PLN untuk memberikan keterangan terkait dugaan kebocoran data pada, Sabtu, 20 Agustus 2022. Ia juga menegaskan bahwa PLN menyampaikan bahwa sistem operasional teknologi informasi mereka masih aman dan pelayanan publik tetap berjalan dengan baik. Kemkominfo telah memberikan rekomendasi teknis kepada PLN untuk meningkatkan perlindungan data pribadi pelanggan. Di sisi lain, terdapat isu mengenai dugaan kebocoran 26 juta data pelanggan layanan internet Indihome milik PT Telkom Indonesia (Persero) Tbk. Dirjen Aptika menyatakan bahwa Kemkominfo mendalami dugaan yang pertama kali muncul di media sosial Twitter.
5. Bjorka diduga membocorkan 19,5 juta data pengguna BPJS Ketenagakerjaan pada 2023
logo BPJS Ketenagakerjaan (commons.wikimedia.org/BPJS Ketenagakerjaan) Bjorka mengklaim telah memperoleh data BPJS Ketenagakerjaan dan menjualnya seharga 10.000 dolar AS atau sekitar Rp151,7 juta dalam bentuk Bitcoin di situs BreachForums pada 12 Maret 2023. Dalam unggahannya yang berjudul "BPJS KETENAGAKERJAAN INDONESIA 19 MILLION", ia menyatakan bahwa data tersebut berukuran 5 GB (atau 1 GB terkompresi) dan berasal dari peretasan yang terjadi pada Maret 2023.
Data yang diungkapkan mencakup nama, email, nomor induk kependudukan (NIK), nomor telepon, alamat, tanggal lahir, jenis kelamin, pekerjaan, tempat kerja, dan informasi lainnya. Bjorka juga melampirkan 100.000 sampel sebagai bukti dari klaim 19 juta data yang teretas. Ia menambahkan bahwa BPJS Ketenagakerjaan adalah organisasi pemerintah yang menyediakan layanan kesejahteraan bagi pekerja dan merupakan pengganti PT Jamsostek (Persero) yang bertugas memberikan perlindungan jaminan sosial bagi tenaga kerja Indonesia, baik formal maupun informal.
Namun, terkait insiden ini, BPJS Ketenagakerjaan memberikan klarifikasi melalui pernyataan Oni Marbun, Deputi Bidang Komunikasi, yang menyebutkan bahwa isu kebocoran data BPJS Ketenagakerjaan pada 2023 adalah tidak benar. Hal ini didasarkan pada hasil investigasi yang dilakukan pada Juni 2024. Oni Marbun menjelaskan bahwa dugaan peretasan data BPJS Ketenagakerjaan merupakan isu yang pernah beredar pada 2023 dan diposting ulang di media sosial oleh pihak yang tidak bertanggung jawab. Ia juga menyebutkan bahwa manajemen BPJS Ketenagakerjaan telah melakukan investigasi sebelumnya dan melakukan penyelidikan ulang pada Juni 2024. Hasil penyelidikan mereka memastikan bahwa data tersebut bukan berasal dari sistem database BPJS Ketenagakerjaan.
6. Ransomware Lockbit 3.0 melumpuhkan server Pusat Data Nasional dan data NPWP bocor pada Juni dan September 2024
ilustrasi peretas atau hacker (freepik.com/freepik) Pada Juni 2024, serangan siber ransomware Lockbit 3.0 berhasil melumpuhkan server Pusat Data Nasional. Ini berdampak pada 210 instansi di tingkat pusat dan daerah di Indonesia. Kepala Badan Siber dan Sandi Negara (BSSN) menjelaskan bahwa insiden ini dimulai ketika mereka mendeteksi upaya non-aktif terhadap fitur keamanan Windows Defender pada, Senin (17 Juni 2024) pukul 23.15 WIB.
Selanjutnya, pada Kamis (20 Juni 2024) pukul 00.54 WIB, muncul aktivitas berbahaya yang mencakup instalasi file berbahaya, penghapusan filesystem penting, serta penonaktifan layanan yang sedang berjalan. Beberapa file, seperti VSS, HyperV Volume, VirtualDisk, dan Veaam vPower NFS juga dilaporkan mengalami penonaktifan dan kerusakan. Windows Defender pun mengalami kerusakan total dan tidak dapat beroperasi sejak pukul 00.55 WIB.
BSSN mengungkapkan bahwa mereka telah mengidentifikasi sumber serangan sebagai file ransomware bernama Brain Cipher. Mereka kini bekerja sama dengan sejumlah pihak untuk melakukan investigasi, termasuk Kominfo, Cyber Crime Polri, dan KSO Telkom-Sigma-Lintasarta. Menteri Komunikasi dan Informatika, Budi Arie Setiadi, menyatakan bahwa penyerang Pusat Data Nasional meminta tebusan sebesar 8 juta dolar Amerika Serikat atau setara Rp121,4 miliar.
Di sisi lain, sekitar 6 juta data Nomor Pokok Wajib Pajak (NPWP) dari Direktorat Jenderal Pajak Kementerian Keuangan telah diretas dan dijual di dark web dengan harga Rp150 juta pada September 2024. Dari total tersebut, 25 data teratas yang mencakup nama-nama pejabat publik juga telah dibagikan, termasuk Presiden Joko Widodo, Wakil Presiden terpilih Gibran Rakabuming Raka, Kaesang Pangarep, Menteri Keuangan Sri Mulyani, dan Menko Perekonomian Airlangga Hartarto. Selain NPWP, data lainnya yang bocor meliputi nomor induk kependudukan (NIK), alamat, nomor HP, email, dan informasi lainnya.
7. Pemerintah perlu meningkatkan kewaspadaan, kepekaan, dan memitigasi risiko
ilustrasi peringatan sistem sedang diretas (freepik.com/DC Studio) Terhitung dari 2019 hingga 14 Mei 2024, Kementerian Komunikasi dan Informatika telah menangani 124 kasus dugaan pelanggaran perlindungan data pribadi. Adapun rinciannya adalah 111 kasus di antaranya adalah kebocoran data pribadi, 4 kasus pengumuman data pribadi tanpa persetujuan pemilik data, pengungkapan kepada pihak tidak sah sebanyak 2 kasus, dan pengumpulan data pribadi yang tidak relevan dengan tujuan pemrosesan data sejumlah 3 kasus. Dari 124 kasus tersebut, 97 kasus telah selesai ditangani dan 27 kasus masih dalam proses penanganan.
Berkaca dari kasus kebocoran data pribadi di mana warga negara menjadi target sasaran, pihak pemerintah sepatutnya perlu untuk meningkatkan kewaspadaan dan kepekaan terhadap pentingnya perlindungan data pribadi. Pemerintah harus memperkuat regulasi dan infrastruktur keamanan siber guna mencegah kebocoran data lebih lanjut. Langkah-langkah proaktif, seperti audit keamanan berkala, peningkatan sistem enkripsi, serta edukasi masyarakat terkait perlindungan data sangat diperlukan. Selain itu, menyerahkan tanggung jawab kepada orang-orang yang ahli dan berkompeten di sektor digitalisasi dan keamanan siber juga turut berperan dalam meningkatkan efektivitas perlindungan data. Pemerintah perlu memastikan bahwa individu-individu yang mengelola sistem keamanan siber memiliki pengetahuan yang mendalam dan pengalaman yang relevan untuk menangani ancaman yang terus berkembang.
Kasus kebocoran data ini tidak hanya berdampak pada privasi individu, tetapi juga menimbulkan risiko lebih luas, termasuk potensi penyalahgunaan data untuk kejahatan dunia maya. Pemerintah harus memastikan bahwa tiap insiden kebocoran ditangani secara transparan dan pihak yang bertanggung jawab dikenai sanksi tegas. Implementasi UU Perlindungan Data Pribadi harus diperkuat agar setiap individu merasa terlindungi sekaligus agar kasus kebocoran data tidak lagi menjadi ancaman serius bagi warga negara maupun negara itu sendiri. Bila perlu, turunkan ahli siber untuk memitigasi agar kasus penyalahgunaan data pribadi ini semata-mata ditujukan untuk hajat hidup orang banyak. Perlindungan ini harus menjadi prioritas demi menjaga kepercayaan publik dan memastikan hak-hak warga negara terlindungi sebagaimana diamanatkan oleh konstitusi pada pasal 28G ayat 1 UUD NRI 1945 yang sudah dipaparkan tadi.
Baca Juga: 5 Tindakan untuk Melindungi Diri dari Doxing, Waspada Kejahatan Siber
