KPU Dianggap Harus Tindak Lanjuti Dugaan Kebocoran Data 105 Juta Penduduk

Sebagai informasi, 105 juta data kependudukan warga Indonesia diduga bocor dan dijual di forum online "Breached Forums", diklaim bersumber dari KPU RI.

Direktur Eksekutif CISSReC Pratama Persadha menyebutkan, bercermin dari karakteristik data yang bocor di Breached, bukan tidak mungkin bahwa data itu memang bersumber dari KPU.

"Karena datanya dari berbagai provinsi, ada kemungkinan besar kebocoran data berasal dari KPU," ujar Pratama lewat keterangannya pada Rabu (7/9/2022).

"Karena itu perlu dilakukan digital forensik dan pengecekan lebih dalam oleh KPU," ia melanjutkan.

Menurutnya, pengecekan tersebut dapat dilakukan dengan bekerja sama dengan lembaga lain.

Terlebih, KPU RI sendiri sudah menjalin kerja sama lintas kementerian dan lembaga dalam Gugus Tugas Keamanan Siber aplikasi KPU RI.

Gugus tugas itu terdiri dari Badan Siber dan Sandi Negara (BSSN), Bareskrim Polri, Kementerian Komunikasi dan Informatika, Badan Riset dan Inovasi Nasional (BRIN), dan Badan Intelijen Negara (BIN).

"Bisa dibantu oleh BSSN. Namun, kalau kita melihat sample data, data ini valid tapi kita perlu pastikan dulu," kata Pratama.

"BSSN juga harus masuk lebih dalam pada berbagai kasus kebocoran data di tanah air, minimal menjelaskan ke publik bagaimana dan apa saja yang dilakukan berbagai lembaga publik yang mengalami kebocoran data akibat peretasan," jelasnya.

Ia menambahkan, karena Indonesia belum punya UU Perlindungan Data Pribadi (PDP), tidak ada upaya memaksa dari negara kepada peneyelenggara sistem elekntronik (PSE) untuk bisa mengamankan data dan sistem yang mereka kelola dengan maksimal atau dengan standar tertentu.

Penjelasan KPU

Data yang bocor di Breached terbilang komplet karena menyertakan berbagai informasi sensitif dan lengkap dari warga Indonesia, meliputi nama lengkap, NIK, nomor KK, alamat lengkap, tempat dan tanggal lahir, usia, jenis kelamin, hingga keterangan soal disabilitas.

Karena diklaim berasal dari KPU, data yang dijual juga memuat informasi berkaitan dengan pemilu, seperti nama dan nomor ID provinsi, kota, kecamatan, serta nomor Tempat Pemungutan Suara (TPS).

Data sensitif tersebut dijual seharga 5.000 dolar AS atau setara Rp 74,4 juta dalam file berukuran 4 GB (Compressed) atau 20 GB (Uncompressed).

Bjorka juga menyediakan sebuah tautan untuk mengunduh 2 juta sampel data secara bebas dan gratis.

KPU RI membantah kebocoran data itu bersumber dari mereka. Sejumlah komisioner menerangkan analisis yang membuat mereka meyakini bahwa data KPU RI masih aman.

“Setelah kami analisis, koding yang dilakukan dalam situs yang dimaksud bukan merupakan data yang dimiliki KPU,” ujar Koordinator Divisi Data dan Informasi KPU RI, Betty Epsilon, kepada Kompas.com, Selasa (6/9/2022) malam.

Lebih jauh, Koordinator Divisi Teknis Penyelenggaraan Pemilu KPU RI Idham Holik menerangkan secara spesifik beberapa hal yang diklaim menjadi pembeda antara data KPU RI dengan data yang bocor itu.

“Melihat header dari tampilan data tersebut (di forum Breached), itu bukan header data yang biasa ditampilkan oleh KPU,” kata Idham kepada Kompas.com, Selasa malam.

“Header-nya (di data Breached) itu kan jenis kelamin, nomor KK, NIK, ‘disabilitas’. Biasanya kami dalam menampilkan data itu dengan kolom kelamin, nomor KK, NIK, dan ‘difabel’,” sambung dia.

Kemudian, ia juga menyoroti munculnya kolom usia dalam data bocor di forum Breached, Menurut Idham, kolom usia tak pernah ada dalam data Sidalih (Sistem Data Pemilh) mana pun.

“Termasuk (data Sidalih) yang terdahulu,” ungkapnya.

Lalu, ia juga memberi contoh soal kode identitas wilayah yang menurutnya tidak sesuai dengan kode yang digunakan KPU RI.

“(Misalnya), melihat dari ID provinsi, kecamatan, dan kelurahan, itu (data di forum Breached) bukan ID yang biasa kami tampilkan. Bahkan, kalau melihat data tersebut, Sulawesi Selatan ID-nya bukan itu,” ujar Idham.

Baik Idham maupun Betty sama-sama mengeklaim bahwa data keanggotaan partai politik yang terhimpun di sistem KPU RI aman, termasuk aplikasi Sipol (Sistem Informasi Partai Politik) yang saat ini sedang dipakai menghimpun identitas keanggotaan dalam pendaftaran partai politik calon peserta Pemilu 2024.

“Ini tentu menjadi perhatian kami dan kami akan sampaikan di forum rapat pleno,” sebut Idham.

“Yang jelas ini bukan data dari KPU. Itu bukan data milik KPU. Data KPU tetap aman. Itu yang perlu kami tegaskan,” pungkasnya.