Kebocoran data pribadi kembali terjadi. Sebanyak 2,3 juta data pribadi sensitif warga Indonesia, meliputi nama, alamat, nomor induk kependudukan, dan nomor kartu keluarga diduga diretas dari situs Komisi Pemilihan Umum.
KOMPAS/SATRIO PANGARSO WISANGGENI—Tangkapan layar salah satu utas atau thread dalam forum Raidforums yang menunjukkan klaim seseorang telah memiliki 2,3 juta data pribadi warga Indonesia. Pada Jumat (22/5/2020), tautan tersebut sudah dihapus oleh pemilik. Namun, ia mengklaim akan segera membagikan 200 juta data pribadi yang diduga berasal dari KPU.
Sebanyak 2,3 juta data pribadi sensitif warga Indonesia, meliputi nama, alamat, nomor induk kependudukan, dan nomor kartu keluarga diduga berhasil diretas dari situs Komisi Pemilihan Umum. Peretas juga mengklaim telah mendapatkan data lebih dari 200 juta warga lainnya. Pakar menilai, data tersebut bisa saja terbuka dari awal.
ADVERTISEMENT
SCROLL TO RESUME CONTENT
Pendiri Ethical Hacker Indonesia Teguh Aprianto memastikan bahwa isi dari database yang bocor tersebut adalah 2,3 juta penduduk Provinsi Daerah Istimewa Yogyakarta.
Database tersebut berbentuk file pdf yang dikategorisasi berdasarkan folder kabupaten/kota, kecamatan, dan kelurahan. Setiap file diyakini diberi nama sesuai dengan nomor tempat pemungutan suara pada Pemilihan Umum 2014.
”Data yang bocor termasuk nama lengkap, NIK, nomor KK, tempat dan tanggal lahir, umur, jenis kelamin, status perkawinan, dan alamat lengkap,” kata Teguh melalui akun Twitter-nya, @secgron.
SECGRON/TWITTER—Salah satu sampel file yang diunduh oleh pendiri Ethical Hacker Indonesia, Teguh Apriyanto
Artinya, data tersebut sangat lengkap, mencakup informasi yang ada pada KTP. Si peretas sendiri melalui unggahan di Raidforums.com mengatakan bahwa informasi ini berguna untuk mendaftarkan nomor kartu SIM baru.
”Sangat berguna untuk mereka yang ingin mendaftarkan nomor telepon dengan jumlah besar. Anda butuh nomor NIK dan KK untuk register,” tulis si peretas yang menggunakan nama akun Arlinst di situs Raidforums.com.
Kini, tautan untuk mengunduh file database hasil retasan tersebut sudah dihilangkan.
—Klaim si peretas
Namun, ketika diminta anggota forum untuk segera membagikan database berisi 200 juta penduduk Indonesia, Arlinst menjawab, ”Hai, sedang menunggu waktu yang tepat.” Arlinst terakhir aktif di utas forum tersebut pada Minggu (21/5/2020) pukul 15.00 WIB.
Peretasan sudah lama
Teguh menilai, hal ini dilakukan dengan memanen data dari alamat situs web milik KPU di http://pdf.kpu.go.id. Hal ini karena Teguh melihat di kaki halaman (footer) ada tautan yang mengarah ke alamat tersebut.
Namun, ia menilai peretasan ini sendiri sudah lama terjadi. Sebab, situs KPU tersebut sudah tidak bisa diakses.
”Jadi, sebenarnya pelaku sudah mengambil data ini dari lama, karena web KPU yang http://pdf.kpu.go.id sekarang sudah tidak bisa diakses, redirect ke salah satu hosting provider,” kata Teguh.
Pada 7 Mei 2020, di Raidforums juga, seorang anggota bernama hydrococo mengaku memiliki data dari 10.000 orang Indonesia. Data ini diklaim didapatkan dari sejumlah perguruan tinggi di Indonesia.
Oleh SATRIO PANGARSO WISANGGENI
Editor KHAERUDIN KHAERUDIN
Sumber: Kompas, 22 Mei 2020
—————————
Data KPU Bocor, Data Pribadi Seluruh Indonesia Terancam
Kurangnya perhatian terhadap perlindungan data pribadi di masa silam membuka ancaman di masa sekarang. Sebanyak 2,3 juta data pribadi sensitif warga Indonesia berhasil dipanen dari situs Komisi Pemilihan Umum.
Data daftar pemilih Pemilihan Umum 2014 dibuka dan diedarkan di situs kriminal. Meski berasal dari tahun 2013, data tersebut masih bisa disalahgunakan untuk kejahatan pada saat ini ataupun di masa depan. Dengan demikian, Undang-Undang Perlindungan Data Pribadi menjadi kebutuhan mutlak.
Kurangnya perhatian terhadap perlindungan data pribadi di masa silam membuka ancaman di masa sekarang. Sebanyak 2,3 juta data pribadi sensitif warga Indonesia, meliputi nama, alamat, nomor induk kependudukan (NIK), dan nomor kartu keluarga (KK), diduga berhasil dipanen dari situs Komisi Pemilihan Umum (KPU).
Database tersebut berisi data pribadi pemilih provinsi Daerah Istimewa Yogyakarta untuk Pemilu 2014. Pelaku juga mengklaim telah mendapatkan lebih dari 200 juta warga lainnya.
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar pada Jumat (22/5/2020) mengatakan, dengan adanya kebocoran ini, penyalahgunaan data pribadi dan identitas menjadi ancaman yang nyata bagi jutaan warga Indonesia.
Dengan informasi yang sedemikian lengkap, penambangan data pribadi oleh orang-orang yang tidak memiliki otoritas dapat berjalan lebih dalam. Wahyu menyebutkan, dengan melihat nomor KK, berbagai informasi yang ada dalam dokumen itu akan dapat diketahui, seperti nama ibu kandung.
Padahal, ujar Wahyu, nama ibu kandung ini semacam super-password untuk membuka akses perbankan, misalnya. Dengan demikian, praktik penambangan data lanjutan ini dimungkinkan terjadi dengan terbukanya nama, NIK, dan nomor KK.
”Kombinasi data itu, kan, akses utama untuk mengakses layanan dari pemerintah dan swasta. Sederhananya, bisa untuk BPJS, kredit bank. NIK dan KK juga terkoneksi dengan kartu SIM. Ini problematis. Bisa digunakan untuk kejahatan yang lain,” tutur Wahyu, dihubungi dari Jakarta.
Mekanisme penyelesaian dan sanksi memastikan bahwa mereka yang gagal melindungi data dapat segera melakukan data protection impact assessment dan menetapkan perlindungan data pribadi yang kuat. Kalau sanksi tidak kuat, mereka tidak akan belajar.
Untuk itu, Wahyu menilai, perlu ada investigasi yang dilakukan oleh KPU, Kementerian Dalam Negeri, serta Kementerian Komunikasi dan Informatika.
Tidak perlu retas
Peneliti keamanan siber dan pendiri Ethical Hacker Indonesia, Teguh Aprianto, mengatakan, data daftar pemilih tetap (DPT) Pemilu 2014 yang beredar tersebut memang terbuka dan dapat diakses publik.
Teguh menilai, hal ini dilakukan dengan memanen data dari alamat situs web milik KPU, yakni http://pdf.kpu.go.id. Ia melihat di kaki halaman (footer) ada tautan yang mengarah ke alamat tersebut. Namun, ia menilai, kejadian penyedotan data ini sudah lama terjadi. Sebab, situs KPU tersebut sudah tidak bisa diakses.
”Data sensitif yang dikelola di aset milik pemerintah memang banyak yang di-crawl oleh Google. Jadi, ini konyolnya, memang terbuka dan dengan mudah dapat diakses,” kata Teguh.
Ia menyayangkan seluruh data tersebut lengkap tanpa sensor. Tidak ada digit angka yang ditutup pada NIK ataupun nomor KK.
Ia menilai, masih banyak data yang belum berubah antara tahun 2014 dan saat ini. Dengan demikian, meski itu data Pemilu 2014, ancaman penyalahgunaan data masih relevan. ”Dari sisi masyarakat, kita tidak bisa berbuat apa-apa,” ucap Teguh.
Komisioner KPU, Viryan Azis, mengatakan, data tersebut merupakan file soft-copy DPT Pemilu 2014 yang dipublikasikan pada 15 November 2013. Ia menyebutkan, peraturan menetapkan bahwa data tersebut bersifat terbuka.
”Soft-file data KPU tersebut, format pdf, dikeluarkan sesuai regulasi dan untuk memenuhi kebutuhan publik bersifat terbuka,” ujar Viryan.
Pasal 33 Ayat (2) Undang-Undang 8 Tahun 2012 tentang Pemilu DPR, DPD, dan DPRD menetapkan, daftar pemilih memuat NIK, nama, tanggal lahir, jenis kelamin, dan alamat. Lalu, Pasal 38 menetapkan bahwa daftar pemilih tersebut diberikan kepada partai politik dalam bentuk salinan soft-copy.
Sifat dualistik DPT
Terkait dilema data yang dibuka tanpa sensor ini, Wahyu menilai, ini adalah implikasi sifat data pemilih yang dualistik atau memegang peran ganda.
Data pemilih harus terbuka karena terkait erat dengan penyelenggaraan pemilu yang adil dan terbuka untuk memenuhi asas akuntabilitas. Di sisi lain, daftar pemilih tersebut mengandung data pribadi sensitif.
Seharusnya, ujar Wahyu, pada daftar pemilih, data pribadi sensitif seperti NIK dan nomor KK tidak perlu dibuka sepenuhnya.
Sementara itu di negara lain, Australia contohnya, kata Wahyu, data daftar pemilih hanya bisa dilihat langsung di kantor penyelenggara pemilihan umum; tidak bisa digandakan lalu disebarluaskan ke partai politik seperti di Indonesia.
”Jadi, ini muncul pertanyaan, sebetulnya data ini didapatkan dari KPU secara langsung atau dari pihak lain yang mendapat data ini dari KPU?” kata Wahyu.
Urgensi UU PDP
Dari kejadian ini, seharusnya urgensi keberadaan Undang-Undang Perlindungan Data Pribadi (UU PDP) menjadi mutlak terasa, kata Wahyu. Dengan UU PDP, posisi dan tanggung jawab setiap aktor yang memegang data menjadi terdefinisikan.
Dalam Regulasi Perlindungan Data Umum Uni Eropa (EU-GDPR), lanjut Wahyu, KPU ataupun partai politik ditetapkan sebagai prosesor data. ”Sehingga jelas apa kewajibannya. Kalau di Indonesia, belum jelas. UU PDP harus disegerakan,” ujarnya.
Badan publik seperti KPU apabila diketahui tidak memenuhi kewajiban pelindungan data, maka ada penalti dalam bentuk ganti rugi bagi pemilik data atau masyarakat.
”Mekanisme penyelesaian dan sanksi memastikan bahwa mereka yang gagal melindungi data dapat segera melakukan data protection impact assessment dan menetapkan perlindungan data pribadi yang kuat. Kalau sanksi tidak kuat, mereka tidak akan belajar,” kata Wahyu.
Menilik pada masa persiapan Pemilu 2019, KPU menutup beberapa digit angka terakhir pada NIK dan nomor KK dalam daftar pemilih. Namun, pada saat itu, Partai Gerindra melayangkan somasi untuk menyerahkan DPT yang terbuka tanpa sensor.
Somasi itu dilayangkan karena Komisi Informasi DKI Jakarta memenangi gugatan partai tersebut untuk membuka seluruh digit angka NIK dan nomor KK. Lalu, dalam masa persiapan Pemilu 2019, KPU pernah membuka 4 digit pada NIK dalam rapat dengan partai politik yang menuntut KPU transparan.
”Bisa saja kejadian terulang DPT untuk Pemilu 2019. Dan data ini, kan, besar sekali jumlahnya, sampai 190 juta orang,” kata Wahyu.
Diberitakan sebelumnya, si pelaku mengumumkan bahwa dirinya memiliki database ini di sebuah situs forum yang dikenal tempat peredaran hasil peretasan pada Rabu (20/5/2020) malam. Pelaku mengatakan akan membagikan lebih dari 200 juta data kependudukan Indonesia di forum tersebut pada waktu yang akan datang.
Oleh SATRIO PANGARSO WISANGGENI
Editor: KHAERUDIN KHAERUDIN
Sumber: Kompas, 22 Mei 2020
