Pemerintah Diminta Aktifkan Protokol jika Terjadi Kebocoran Data Publik

JAKARTA, KOMPAS.com - Pemerintah disarankan menjalankan protokol pemberitahuan kepada masyarakat terkait dugaan kebocoran 3,2 miliar data PeduliLindungi yang dijual oleh peretas Bjorka melalui situs breached.to.

Protokol itu sudah diatur dalam Undang-Undang Perlindungan Data Pribadi (PDP) yang belum lama ini disahkan.

“Bila benar ini data PeduliLindungi, maka berlaku pada Pasal 46 UU PDP ayat 1 dan 2, yang isinya bahwa dalam hal terjadi kegagalan perlindungan data pribadi maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam," kata pakar keamanan siber Pratama Dahlian Persadha saat dihubungi Kompas.com, Rabu (16/11/2022).

Pratama mengatakan, berdasarkan protokol kebocoran data, pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP).

"Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi,” ujar Pratama yang juga Chairman Communication & Information System Security Research Center (CISSReC).

Peretas Bjorka dilaporkan mengunggah data PeduliLindungi di forum breached.to pada Selasa (15/11/2022) lalu, bertepatan dengan pembukaan Konferensi Tingkat Tinggi G20 di Bali.

Menurut Pratama, contoh data PeduliLindungi yang diunggah Bjorka dalam situs tersebut yaitu nama, email, nomor induk kependudukan (NIK), nomor telepon, tanggal lahir, identitas perangkat, status Covid-19, riwayat check-in, riwayat pelacakan kontak, vaksinasi dan masih banyak data lainnya.

Bjorka menjual data yang berjumlah 3,2 miliar itu dengan harga 100.000 Dollar Amerika Serikat atau sekitar Rp 1,5 miliar. Dia memberi syarat transaksi menggunakan mata uang kripto BitCoin.

Menurut Pratama mengemukakan, data yang diklaim oleh Bjorka berjumlah 3,250,144,777, dengan total ukuran mencapai 157 Gigabyte bila dalam keadaan tidak dikompres.

Data sampel yang diunggah Bjorka dibagi menjadi 5 jenis, yaitu data pengguna (94 juta), akun yang sudah disortir sebanyak (94 juta), data vaksinasi (209 juta), data riwayat check-in (1,3 miliar), dan riwayat pelacakan kontak (1,5 miliar).

Pratama menyarankan supaya seluruh lembaga yang terlibat mengelola aplikasi PeduliLindungi segera melakukan audit dan proses forensik digital buat mencari sumber kebocoran data.

Dia juga menyoroti pengamanan data pengguna PeduliLindungi yang sangat sensitif lantaran diduga tidak dienkripsi atau disandi. Alhasil, kata dia, data penting itu jadi mudah terbaca ketika diambil peretas.

"Sampai saat ini sumber datanya masih belum jelas. Namun soal asli atau tidaknya data ini hanya instansi yang terlibat dalam pembuatan aplikasi pedulilindungi yaitu Kominfo, Kementrian BUMN, Kemenkes dan Telkom," ucap Pratama.

Pratama mengatakan, proses audit dan forensik digital penting buat menelusuri sumber kebocoran data.

Sebab apabila ditemukan celah keamanan pada aplikasi PeduliLindungi, maka kemungkinan besar memang terjadi peretasan dan pencurian data.

"Namun, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam," ucap Pratama.

Menurut Pratama terdapat 3 penyebab utama kebocoran data, yaitu peretasan, human error atau tindakan orang dalam, dan kesalahan dalam sistem informasi.

"Jadi setiap kebocoran data tidak selalu disebabkan oleh serangan siber oleh para peretas. Namun, bila serangan oleh para peretas, itupun tidak langsung bisa diidentifikasi para penyerangnya. Ini juga terkait sejauh mana kemampuan dari si peretas," papar Pratama.

Bjorka mengklaim meretas data MyPertamina sebesar 30 Gigabyte atau 6 Gigabyte terkompresi yang terdiri dari nama, email, NIK, NPWP, nomor telepon, alamat, tanggal lahir, jenis kelamin, dan penghasilan pemilik data, mulai dari per hari, bulan, dan tahun.