Kebocoran 279 juta data dari BPJS Kesehatan diketahui lewat sebuah cuitan yang viral pada Kamis (20/5). Juru Bicara Kementerian Komunikasi dan Informatika (Kominfo) Dedy Permadi mengatakan, dari hasil investigasi, pihaknya menemukan bahwa akun bernama Kotz menjual data pribadi di Raid Forums. Akun Kotz sendiri merupakan pembeli dan penjual data pribadi (reseller).
Penjual data juga mengunggah 3 tautan yang isinya adalah sampel data yang bisa diunduh gratis. Tautan tersebut diduga membocorkan data pribadi yang mencakup nama, alamat, dan tempat tanggal lahir, juga berisi informasi penting seperti Nomor Induk Kependudukan, Nomor NPWP, nomor ponsel, hingga besaran gaji.
Menurut Ruby Alamsyah, ahli forensik digital dari Digital Forensic Indonesia, data pribadi yang dikumpulkan, diproses dan disimpan oleh instansi baik itu pemerintahan maupun swasta bila tidak diamankan secara optimal, pasti memiliki risiko bocor.
“Kebocoran data ini bisa dilakukan oleh pihak internal maupun eksternal. Dari tren kebocoran data pribadi di Indonesia dalam 3 tahun terakhir, seringkali yang membocorkan adalah pihak eksternal dengan melakukan peretasan karena adanya celah pada sistem keamanan data tersebut,” kata Ruby.
Pemerintah sendiri melalui Kominfo langsung menindaklanjuti kasus ini dengan memblokir situs Raid Forums yang menyebarkan data tersebut. Dalam rilisnya, Kominfo juga mengatakan, proses pemblokiran juga dilakukan terhadap akun bernama Kotz yang menjadi penyebar data, termasuk 3 situs yang digunakan untuk mengunduh sampel data tersebut.
Kominfo mengaku telah mengidentifikasi jumlah data yang lebih besar dan memperluas investigasi terhadap sekitar 1 juta data yang diklaim sebagai data sampel oleh penjual. Pihak kementerian bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) untuk melakukan investigasi mendalam bersama dengan BPJS Kesehatan.
Butuh Peraturan Perlindungan Data Pribadi Setara Undang-Undang
Pertanyaannya, pada kasus data pribadi bocor ke publik seperti ini, apa yang bisa kita lakukan?
Ruby Alamsyah menjelaskan, saat ini Indonesia belum memiliki regulasi Perlindungan Data Pribadi yang setara Undang-Undang, sehingga masyarakat tidak memiliki opsi yang baik bila terjadi kebocoran atas data pribadinya.
Ruby mengatakan pada sejumlah kasus lampau, aturan hukum yang digunakan adalah Undang-Undang Perlindungan Konsumen atau Peraturan Menteri Kominfo No. 20 tahun 2016.
“Masyarakat bisa mengadukan kepada menteri dan masalahnya diselesaikan secara musyawarah atau melalui upaya penyelesaian alternatif lainnya,” jelas Ruby kepada VOA.
Sementara, untuk kasus bocornya data BPJS ini, dikutip dari siaran persnya Kamis 20/5, pihak Kominfo menyatakan telah melakukan pemanggilan terhadap Direksi BPJS Kesehatan pada hari Jumat, 21 Mei 2021 untuk melakukan proses investigasi secara lebih mendalam. Menurut Kominfo, BPJS akan memastikan dan menguji ulang data pribadi yang diduga bocor.
Bukan Kejadian Pertama
Berita soal jual beli data pribadi di Indonesia selama beberapa tahun terakhir ini memang cukup marak. Namun untuk data pribadi dengan jumlah yang fantastis memang baru muncul di kasus data BPJS ini. Sebenarnya, berapa harga data pribadi ini sehingga laris diperjualbelikan?
Ruby Alamsyah mengatakan, besaran harganya akan tergantung pada beberapa indikator: kuantitas, kualitas, dan sumber data – untuk menentukan seberapa pentingnya data tersebut.
“Contoh, Kasus Bukalapak di tahun 2019, data yang bocor sebanyak 12,9 juta, dijual seharga 20 jutaan rupiah.
Pada kasus Tokopedia di tahun 2020, data yang bocor sebanyak 90 juta (data pengguna e-commerce tersebut sampai Maret 2020) dijual seharga 75 jutaan rupiah,” kata Ruby.
Data bocor terbaru pasti akan bernilai jauh lebih tinggi, daripada data lama.
Hingga Mei 2021 ini, Ruby mengamati, sudah lebih dari 11 milyar data pribadi yang pernah bocor di dunia internasional, termasuk data pribadi warga Indonesia dengan jumlah lebih dari 1 miliar record.
“Data ini bocor dari platform media sosial, provider email, e-commerce, fintech, bisnis retail, perbankan, instansi pemerintah, dan lain-lain,” tambah Ruby.
Data yang diperjualbelikan ini, kata Ruby, digunakan untuk beberapa kepentingan – misalnya untuk kebutuhan riset IT Security, untuk keperluan bisnis seperti telemarketing dan sejenisnya, untuk dijual kembali ke pihak yang membutuhkan (reselling), atau digunakan untuk tindak kriminal seperti penipuan online.
Upaya pencegahan yang bisa dilakukan masyarakat dalam kasus kebocoran data pribadi dalam jumlah masif seperti dalam kasus BPJS ini, sangat minim, karena peretasan dilakukan ke sistem bukan ke individu.
“Masyarakat bisa meningkatkan kesadaran akan keamanan teknologi terkait risiko ke depan menjadi korban dari tindak kejahatan siber yang menggunakan kebocoran data tersebut,” tambah Ruby.
Ruby lebih lanjut menambahkan kewaspadaan harus ditingkatkan pada tingkat individu, terutama jika kita mendapat email atau SMS ke nomor ponsel pribadi yang berisi tautan yang berpotensi phishing ataupun malware. Penipuan online yang dilakukan dengan menggunakan teknik social engineering juga semakin marak,
“Karena korban akan mudah terperdaya jika dihubungi oleh pihak-pihak yang dapat menginformasikan data pribadinya secara lengkap dan benar,” tambah Ruby. [er/rw/dw]