URtech

Data PeduliLindungi Dibobol Bjorka, Ini Saran Pengamat

Shinta Galih, Rabu, 16 November 2022 12.37 | Waktu baca 3 menit
WhatsApp ShareFacebook ShareTwitter ShareLinkedin Share
Data PeduliLindungi Dibobol Bjorka, Ini Saran Pengamat
Image: Aplikasi PeduliLindungi (Foto: Urbanasia)

Jakarta - Lebih dari 3,2 miliar data PeduliLindungi bocor dan dijual oleh Bjorka. Pemerintah pun diminta untuk melakukan tindakan nyata melindungi data pribadi masyarakat.

Pakar keamanan siber, Pratama Persadha, menjelaskan bahwa kebocoran tersebut terjadi di forum situs breached.to dengan nama identitas 'Bjorka' yang memang sudah berjanji sebelumnya untuk membocorkannya aplikasi PeduliLindungi ke publik setelah aplikasi MyPertamina. 

Bjorka membocorkan 3,2 miliar data yang terbagi kedalam data pengguna, data vaksinasi, riwayat pelacakan, serta riwayat check-in pengguna aplikasi dengan memberikan sampel data.

Baca Juga: Pemerintah Dituding Menipu Soal PeduliLindungi Terenkripsi

"Data yang diunggah yaitu Nama, Email, NIK (Nomor KTP), Nomor Telepon, Tanggal Lahir, Identitas Perangkat, Status COVID-19, Riwayat Checkin, Riwayat Pelacakan Kontak, Vaksinasi, dan masih banyak data lainnya. Data yang berjumlah 3,2 miliar ini dijual dengan harga US$ 100.000 atau sekitar 1,5 miliar rupiah menggunakan mata uang Bitcoin," terang chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center), Pratama Persadha dikutip Urbanasia, Rabu (16/11/2022).

Pratama mengemukakan, data yang diklaim oleh Bjorka berjumlah 3.250.144.777 mencapai 157 GB bila dalam keadaan tidak dikompres. Data sampelnya dibagi menjadi 5 file yaitu data pengguna sebanyak 94 juta, akun yang sudah disortir sebanyak 94 juta, data vaksinasi 209 juta, data riwayat check-in 1,3 miliar, dan riwayat pelacakan kontak sebanyak 1,5 miliar. 

Saat dicek menggunakan aplikasi pengecek nomor KTP, data yang dibeberkan valid. Jika diperiksa lebih lanjut pada sample datanya, ada banyak koordinat lokasi yang bertepatan dengan fitur check-in PeduliLindungi di tempat-tempat publik.

Baca Juga: Bjorka Jual 3,2 Miliar Data Aplikasi PeduliLindungi

"Sampai saat ini sumber datanya masih belum jelas, namun soal asli atau tidaknya data ini hanya instansi yang terlibat dalam pembuatan aplikasi PeduliLindungi yaitu Kominfo, Kementrian BUMN, Kemenkes, dan Telkom. Sangat disayangkan data yang sangat sensitif ini tidak maksimal pengamanannya, misalnya dengan melakukan enkripsi datanya. Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana”, jelas pria asal Cepu, Jawa Tengah itu.

Menurutnya, perlu dicek dahulu sistem informasi dari aplikasi PeduliLindungi yang datanya dibocorkan oleh Bjorka. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data.

Namun dengan pengecekan yang menyeluruh dan digital forensic, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam. 

Ditambahkan olehnya, jika nantinya sudah melakukan pengecekan yang menyeluruh dan digital forensik dan bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam. 

Baca Juga: PeduliLindungi Eror, Sertifikat Vaksin Hilang hingga Logout Tiba-tiba

Hal ini memang bukan barang baru, karena dalam kebocoran data ada 3 penyebab utama, yaitu peretasan, karena human eror atau tindakan orang dalam, dan terakhir karena adanya kesalahan dalam sistem informasi tersebut. 

Jadi, setiap kebocoran data tidak selalu disebabkan oleh serangan siber oleh para peretas. Namun bila serangan ternyata dilakukan oleh para peretas, itupun tidak langsung bisa diidentifikasi para penyerangnya. Ini juga terkait sejauh mana kemampuan dari si peretas.

“Dan bila benar ini data PeduliLindungi, maka berlaku pada Pasal 46 UU PDP ayat 1 dan 2, yang isinya bahwa dalam hal terjadi kegagalan perlindungan data pribadi maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam. Pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi”, terangnya.

Baca Juga: Arti Warna Kode QR Hijau hingga Hitam di Aplikasi PeduliLindungi

Ditambahkan Pratama, setelah rentetan kebocoran yang tidak berujung maka saat ini yang terpenting adalah segera membentuk lembaga pengawas PDP atau apapun namanya, Komisi PDP misalnya. Ini sudah diamanatkan UU PDP agar presiden membentuk Komisi PDP segera setelah UU berlaku. 

"Komisi PDP ini nanti yang tidak hanya mengawasi namun juga melakukan penegakan aturan serta menciptkan standar keamanan tertentu dalam proses pengolahan pemrosesan data. Dalam kasus kebocoran data seperti aplikasi PeduliLindungi ini, bila ada masyarakat yang dirugikan bisa nantinya melakukan gugatan lewat Komisi PDP," pungkas Pratama.

Komentar
paper plane

Berita Terkait
    Berita Terkait