google-site-verification=If6OFp2AVlBc1ozhWbqP0TAD0qIlciYAMuPY1RVWjtI

279 Juta Data Pribadi Warga Indonesia Bocor dan Dijual Online, Milik BPJS Kesehatan

Peretasan Data Pribadi BPJS Kesehatan

Kembali terjadi kasus data pribadi milik warga Indonesia bocor dan jumlahnya tidak main-main. Diketahui, ada sebanyak 279 juta data penduduk Indonesia telah dicuri orang tidak bertanggung jawab dan kemudian menjualnya di forum online bawah tanah, Raid Forums. Akun yang menjual data pribadi milik warga Indonesia itu menggunakan username Kotz. 

Dalam detail data pribadi yang dijual itu, dituliskan bahwa Kotz memiliki informasi penting seperti Nomor Induk Kependudukan atau nomor KTP, nomor telepon, alamat email, alamat rumah sampai dengan besaran gaji yang dimiliki. Tak hanya data pribadi warga yang masih hidup, tetapi juga data warga yang telah dinyatakan meninggal dunia. 

Kotz menawarkan data-data pribadi milik warga Indonesia itu sebesar 0,15 bitcoin atau jika dijadikan dalam bentuk rupiah menjadi sekitar Rp80 jutaan. Kotz juga menyertakan sampel data yang bisa diunduh oleh para calon pembeli, untuk membuktikan bahwa yang dia jual itu adalah data yang valid. 

Berasal Dari Data BPJS Kesehatan

Kasus kebocoran data pribadi warga Indonesia ini pun sontak menjadi pembahasan ramai di media sosial. Salah seorang pengguna dengan akun Twitter @Br_AM pun membagikan percakapan dirinya dengan Kotz si penjual, saat mencoba mencari informasi dengan berpura-pura sebagai pembeli. 

Dalam sebuah tangkapan layar dari aplikasi percakapan yang dilakukan, Kotz mengaku mendapatkan data pribadi tersebut dari situs resmi milik Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan yang beralamatkan di bpjs-kesehatan.go.id

Warganet pun kemudian ramai-ramai mencoba meminta klarifikasi dari pihak BPJS Kesehatan mengenai adanya kebocoran dan penjualan data pribadi warga Indonesia secara ilegal itu. Pihak BPJS Kesehatan pun memberikan respon. 

Kepala Humas BPJS M Iqbal Ma’ruf menyatakan bahwa jumlah peserta BPJS Kesehatan telah mencapai 222,4 juta jiwa sampai dengan laporan terakhir pada bulan Mei 2021. Jumlah tersebut diketahui lebih sedikit dari data yang diduga bocor dan diperjual-belikan di forum online itu. 

Kemudian pihak BPJS pun mencoba melakukan penyelidikan mengenai adanya kasus itu, guna memastikan apakah data pribadi warga Indonesia yang dijual di forum online itu memang benar berasal dari data yang dimiliki oleh BPJS Kesehatan. 

“Kami telah mengerahkan tim khusus untuk dengan segera mungkin bisa melacak dan menemukan sumber dari kasus ini,” ungkap Iqbal saat dimintai keterangan oleh awak media.

Kominfo Mintai Keterangan BPJS

Pihak dari Kementerian Komunikasi dan Informatika (Kemkominfo) pun juga ikut menyelidiki kebocoran data pribadi warga Indonesia itu. Menteri Kominfo Johnny G Plate memberikan informasi bahwa setelah pihaknya melakukan penyelidikan, ditemukan fakta bahwa sampel data yang ada, sangat identik dengan data yang dimiliki oleh BPJS Kesehatan.

“Hal itu didasarkan pada struktur data yang terdiri dari Nomor Kartu, Kode Kantor, Data Keluarga atau Data Tanggungan, dan status pembayaran, yang sangat identik dengan data yang dimiliki oleh BPJS Kesehatan” tutur Johnny. 

Selanjutnya, pihak Kominfo melakukan pemanggilan terhadap jajaran Direksi BPJS Kesehatan, sebagai pihak yang paling bertanggung jawab atas dugaan kebocoran data pribadi warga Indonesia itu. Hal ini dikatakan juga telah sesuai dengan amanat Peraturan Pemerintah Nomor 71 Tahun 2019, dan juga telah sesuai dengan Peraturan Menkominfo Nomor 20 Tahun 2016 mengenai Perlindungan Data Pribadi Dalam Sistem Elektronik. 

Diketahui, aturan tersebut menjelaskan bahwa Penyelenggara Sistem Elektronik (PSE) yang di mana sistem yang dimiliki mengalami gangguan serius dan gagal dalam memberikan perlindungan data pribadi, maka pihak tersebut wajib untuk segera melaporkan masalah yang terjadi kepada Kementerian Kominfo dan pihak berwenang yang terkait lainnya. 

Pihak penyelenggara juga memiliki kewajiban untuk membuat semacam pemberitahuan resmi secara tertulis kepada para pemilik data pribadi yang bocor itu, apabila memang telah terjadi kegagalan dalam sistem perlindungan data pribadi. 

Data Pribadi Peserta BPJS Kesehatan Bobol dan Dijual Online

Kominfo pun meminta pihak BPJS Kesehatan untuk melakukan pemeriksaan dan uji ulang terhadap data pribadi warga Indonesia yang bocor, yang jumlahnya mencapai ratusan juta tersebut. Pihak BPJS Kesehatan juga diminta oleh Kominfo untuk segera mengambil tindakan pengamanan agar risiko kebocoran lebih lanjut bisa semakin ditekan. 

“Investigasi yang dilakukan oleh tim internal dari BPJS Kesehatan akan selalu dikoordinasikan dengan pihak Kominfo dan juga BSSN,” kata Johnny menambahkan. 

Tidak hanya melakukan pemanggilan terhadap pihak BPJS Kesehatan, Kominfo juga mengambil langkah pencegahan dengan segera melakukan pemblokiran terhadap tiga link atau tautan sampel data yang telah dicantumkan oleh penjual data itu yang ada di Raid Forums. 

Pihak Kominfo juga menjelaskan ketiga tautan yang telah dilakukan pemblokiran yakni bayfiles.com, mega.nz, dan juga anonfiles.com. Selain itu pemblokiran juga dilakukan terhadap situs Raid Forums, yang digunakan sebagai sarana penjualan data yang bocor tersebut. Situs Raid Forums sendiri merupakan situs permukaan atau surface, bukan jenis deep web, yang mudah untuk diakses oleh siapapun. 

Dengan adanya sejumlah langkah pemblokiran situs-situs tersebut, pihak Kominfo berharap agar peluang dari penyebaran data yang lebih luas lagi bisa diminimalisir. 

Pakar Ungkap Kebocoran Data BPJS

Pratama Persadha, selaku Chairman dari Lembaga Riset Siber CISSRec sangat menyesalkan adanya kasus kebocoran 279 juta data pribadi milik warga Indonesia, hingga sampai diperjual-belikan di forum online. 

Lebih lanjut Pratama memberikan informasi yang dia miliki bahwa akun Kotz itu memberikan akses unduhan dengan cuma-cuma tanpa biaya untuk sebuah file berukuran 240 MB yang di dalamnya berisi satu juta data pribadi milik warga Indonesia. 

“Apabila dilakukan pengecekan, data sampel sebesar 240 MB itu berisi NIK, Nomor Telepon, Alamat Rumah, Alamat Email, NPWP, Tanggal Kelahiran, dan bahkan penjual itu mengklaim memiliki 20 juta data yang ada foto pemiliknya juga,” ungkap Pratama. 

Meski demikian, Pratama melihat adanya sebuah kejanggalan. Hal ini adalah klaim dari Kotz yang mengaku memiliki sebanyak 272.788.202 data warga Indonesia, sementara data yang dimiliki BPJS Kesehatan hanya sebanyak 222 juta. Lebih sedikit dari yang diklaim oleh Kotz.

“Dari nomor BPJS Kesehatan yang ada di file tersebut, apabila dilakukan pengecekan secara online, ternyata datanya sama benar. Jadi memang besar kemungkinan data itu asalnya dari BPJS Kesehatan,” tambah Pratama. 

Bahaya Yang Mengancam

Dampak dari data pribadi warga Indonesia yang telah bocor itu, Pratama meyakini bahwa nantinya data-data itu akan digunakan untuk melakukan tindak kejahatan atau kegiatan pelanggaran hukum lainnya oleh pihak-pihak yang tidak bertanggung jawab. 

“Bisa dimanfaatkan oleh orang yang tidak bertanggung jawab untuk kepentingan negatif, bahkan kriminal. Kan data-data itu lengkap, ada nama, nomor hp, agama, tanggal lahir, nomor KTP dan data penting lainnya,” tutur Pratama. 

Pratama menjelaskan, beberapa hal yang biasanya yang akan dilakukan oleh orang tidak bertanggung jawab dengan data pribadi orang lain yang ada di tangannya itu. Misalnya, dari nomor ponsel bisa diketahui apakah seseorang memiliki dompet digital atau akun belanja online. Selanjutnya, pelaku akan mulai mencoba membobol akun tersebut. 

Cara yang paling umum adalah dengan menggunakan teknik Social Engineering, memanfaatkan kelengahan korban untuk kemudian menjadikan korban tersebut secara tidak sadar memberikan akses ke akun belanja online tadi. Misalnya memberikan kode OTP atau bahkan password. 

Ataupun yang paling mudah dan umum adalah, data-data pribadi tersebut akan dijadikan target pengiriman spam, iklan atau bahkan tautan phising untuk mengunduh virus atau malware tertentu. 

Yang paling kekinian mungkin data pribadi itu digunakan untuk mengajukan pinjaman online dari aplikasi-aplikasi ilegal, yang proses pendaftarannya hanya membutuhkan nomor KTP atau semacamnya. 

Polri Juga Turun Tangan

Seperti halnya Kominfo, Kepolisian Republik Indonesia (Polri) juga merasa perlu untuk turun tangan dalam kasus bocornya data pribadi ratusan juta warga Indonesia dan dijual di forum online itu. 

Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri pun juga akan membentuk sebuah tim khusus yang bertugas menyelidiki kasus kebocoran data pribadi itu. Tim itu juga akan mendapatkan dukungan dari satuan kepolisian lainnya, salah satunya adalah dari Polda Metro Jaya. 

“Betul nantinya akan dibentuk tim khusus terkait kebocoran data. Ada Polda Metro Jaya perkuatan, dan juga Laboratorium Forensik,” kata Brigjen Slamet Uliandi. 

Adapun mengapa sampai Polri harus turun tangan, dikatakan Slamet karena kasus ini sudah masuk dalam ranah penyelidikan dan Polri akan segera mengambil tindakan-tindakan yang diperlukan untuk mengetahui secara teknis kasus kebocoran data tersebut. 

“Konfirmasi siapa yang mengoperasikan data, kemudian lanjut ke digital forensik,” kata Slamet menambahkan. 

Aplikasi BPJS Kesehatan

Dugaan Motif Penyebab Kebocoran Data

Dijelaskan dalam kasus kebocoran data pribadi ini, setidaknya ada dua kemungkinan penyebabnya. Koordinator Advokasi BPJS Watch, Timboel Siregar mengatakan bahwa kemungkinan yang pertama itu adalah adanya tindakan peretasan dan kemungkinan yang kedua karena memang ada transaksi data dari pihak internal BPJS itu sendiri. 

Adapun kemungkinan yang pertama itu karena didasari oleh motif bisnis dari pihak eksternal BPJS. Lalu untuk kemungkinan kedua yakni transaksi data dari internal, dilatar belakangi oleh kepentingan individu. 

Namun demikian, Timboel menegaskan bahwa yang paling besar menjadi motif penyebab kebocoran data pribadi itu adalah dari pihak eksternal. Pasalnya, Timboel melihat bahwa aplikasi dan sistem layanan yang digunakan oleh BPJS Kesehatan selama ini belum memiliki sistem keamanan dan proteksi yang maksimal dari sisi teknologi dan informasi pendukung. 

“Ada dua kemungkinan dari kebocoran. Satu karena diretas, dua memang dijual oleh oknum dalam BPJS. Saya lebih cenderung ke arah kemungkinan nomor satu, karena dari beberapa aplikasi yang dimiliki BPJS ada banyak. Harusnya aplikasi yang terkait dengan kepesertaan cuma satu. Ga usah beda-beda, sekarangkan di beda-bedakan. Semangat buat aplikasi tapi gampang dibobol,” ungkap Timboel.