Data WNI, Dijual 0,15 Bitcoin di Online Raid Forums
Kasus kebocoran data kembali terjadi di Indonesia. Kali ini, jumlahnya tidak main-main. Diduga, data milik 279 juta penduduk di Indonesia bocor dan dijual di forum online Raid Forums. Penjual merupakan anggota forum online Raid Forums dengan nama akun “Kotz”. Di dalam deskripsinya, penjual mengatakan bahwa data tersebut berisi NIK, nomor ponsel, e-mail, alamat, dan gaji. Data tersebut termasuk data penduduk yang telah meninggal dunia. Dari data 279 juta orang tersebut, 20 juta di antaranya disebut memuat foto pribadi. Adapun data tersebut dijual dengan harga 0,15 bitcoin yang jikwa dikonversi ke rupiah sekitar Rp 81,6 juta ketika berita ini ditulis. Untuk meyakinkan calon pembeli, penjual turut menyertakan tiga tautan berisi sampel data yang bisa diunduh secara gratis.
Kasus ini dengan cepat menyebar di media sosial Twitter. Salah seorang pengguna Twitter dengan handle @Br_AM pun mencoba menanyai penjual dari mana dataset itu didapatkan.
Dalam sebuah tangkapan layar percakapannya dengan penjual, disebutkan bahwa ratusan juta data itu diambil dari situs resmi Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan di alamat bpjs-kesehatan.go.id.
Menanggapi tudingan tersebut, Kepala Humas BPJS, M.Iqbal Ma’ruf mengatakan bahwa sampai Mei 2021, jumlah peserta BPJS Kesehatan mencapai 222,4 juta jiwa. Angka yang lebih sedikit dibanding data yang diklaim oleh penjual data. Pihak BPJS pun melakukan penelusuran dan memastikan apakah benar data yang bocor berasal dari BPJS Kesehatan.
Kominfo panggil BPJS Kementerian Komunikasi dan Informatika (Kominfo) turun tangan dalam kasus kebocoran data ini. Menteri Kominfo, Johnny G Plate, mengatakan bahwa setelah pihaknya mendalami data tersebut, ditemukan bahwa sampel data diduga kuat identik dengan data milik BPJS Kesehatan.
Setelah temuan itu, Kominfo memanggil Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor, sesuai amanat Peraturan Pemerintah Nomor 71 Tahun 2019. Pemanggilan juga didasarkan pada Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Dalam aturan tersebut, Penyelenggara Sistem Elektronik (PSE) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi, wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain. PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, apabila diketahui bahwa terjadi kegagalan perlindungan data pribadi.
Selain memanggil Direksi BPJS Kesehatan, Kominfo juga melakukan langkah antisipatif lain dengan mengajukan pemblokiran tiga tautan sampel data yang dicantumkan penjual di situs Raid Forums. Adapun tiga tautan tersebut adalah bayfiles.com, mega.nz, dan anonfiles.com. Situs Raid Forums memang merupakan surface web yang bisa diakses siapa saja dengan mudah karena bukan merupakan situs gelap atau rahasia (deep web). Dengan pemutusan akses ke tautan tersebut, peluang penyebaran data yang lebih luas bisa diminimalisir. Investigasi ulang Setelah bertemu dengan Direksi BPJS Kesehatan, Menkominfo meminta agar mereka bisa segera memeriksa dan menguji ulang ratusan juta data yang diduga bocor. Pihak BPJS Kesehatan juga diimbau untuk melakukan langkah-langkah pengamanan, guna memitigasi risiko kebocoran data pribadi yang lebih luas.
