JAKARTA, KOMPAS.com - Pemerintah disarankan menjalankan protokol pemberitahuan kepada masyarakat terkait dugaan kebocoran 3,2 miliar data PeduliLindungi yang dijual oleh peretas Bjorka melalui situs breached.to.
Protokol itu sudah diatur dalam Undang-Undang Perlindungan Data Pribadi (PDP) yang belum lama ini disahkan.
Baca juga: Data Publik Masih Bocor, Kominfo dan BSSN Dinilai Perlu Berperan Atasi meski Sudah Ada UU PDP
“Bila benar ini data PeduliLindungi, maka berlaku pada Pasal 46 UU PDP ayat 1 dan 2, yang isinya bahwa dalam hal terjadi kegagalan perlindungan data pribadi maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam," kata pakar keamanan siber Pratama Dahlian Persadha saat dihubungi Kompas.com, Rabu (16/11/2022).
Pratama mengatakan, berdasarkan protokol kebocoran data, pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP).
"Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi,” ujar Pratama yang juga Chairman Communication & Information System Security Research Center (CISSReC).
Baca juga: Data PeduliLindungi Dijual Bjorka, Pemerintah Diminta Gelar Audit dan Forensik Digital
Peretas Bjorka dilaporkan mengunggah data PeduliLindungi di forum breached.to pada Selasa (15/11/2022) lalu, bertepatan dengan pembukaan Konferensi Tingkat Tinggi G20 di Bali.
Menurut Pratama, contoh data PeduliLindungi yang diunggah Bjorka dalam situs tersebut yaitu nama, email, nomor induk kependudukan (NIK), nomor telepon, tanggal lahir, identitas perangkat, status Covid-19, riwayat check-in, riwayat pelacakan kontak, vaksinasi dan masih banyak data lainnya.
Bjorka menjual data yang berjumlah 3,2 miliar itu dengan harga 100.000 Dollar Amerika Serikat atau sekitar Rp 1,5 miliar. Dia memberi syarat transaksi menggunakan mata uang kripto BitCoin.
Baca juga: Keberadaan Lembaga Perlindungan Data Pribadi Dinilai Semakin Mendesak
Menurut Pratama mengemukakan, data yang diklaim oleh Bjorka berjumlah 3,250,144,777, dengan total ukuran mencapai 157 Gigabyte bila dalam keadaan tidak dikompres.
Data sampel yang diunggah Bjorka dibagi menjadi 5 jenis, yaitu data pengguna (94 juta), akun yang sudah disortir sebanyak (94 juta), data vaksinasi (209 juta), data riwayat check-in (1,3 miliar), dan riwayat pelacakan kontak (1,5 miliar).
Pratama menyarankan supaya seluruh lembaga yang terlibat mengelola aplikasi PeduliLindungi segera melakukan audit dan proses forensik digital buat mencari sumber kebocoran data.
Dia juga menyoroti pengamanan data pengguna PeduliLindungi yang sangat sensitif lantaran diduga tidak dienkripsi atau disandi. Alhasil, kata dia, data penting itu jadi mudah terbaca ketika diambil peretas.
Baca juga: Data PeduliLindungi yang Dijual Bjorka Diduga Tidak Dienkripsi
"Sampai saat ini sumber datanya masih belum jelas. Namun soal asli atau tidaknya data ini hanya instansi yang terlibat dalam pembuatan aplikasi pedulilindungi yaitu Kominfo, Kementrian BUMN, Kemenkes dan Telkom," ucap Pratama.
Pratama mengatakan, proses audit dan forensik digital penting buat menelusuri sumber kebocoran data.
Sebab apabila ditemukan celah keamanan pada aplikasi PeduliLindungi, maka kemungkinan besar memang terjadi peretasan dan pencurian data.