Penjualan data diduga dari PeduliLindungi di forum hacker oleh Bjorka berpeluang melibatkan orang dalam jika memang tak ditemukan celah keamanan dalam audit forensik. “Perlu dicek dahulu sistem informasi dari aplikasi PeduliLindungi yang datanya dibocorkan oleh Bjorka. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data,” kata Pratama Persadha, pakar dari lembaga riset siber Communication & Information System Security Research Center (CISSReC), dalam rilisnya, Selasa (15/11). “Namun dengan pengecekan yang menyeluruh dan digital forensic, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam,” ia menambahkan.
Seperti diketahui, Bjorka kembali melakukan aksi pembocoran 3,2 miliar data diduga dari aplikasi PeduliLindungi. Bocoran data itu disebut termasuk milik Menteri Komunikasi dan Informatika Johnny G. Plate, Menteri Koordinator Kemaritiman dan Investasi Luhut Pandjaitan, dan YouTuber Deddy Corbuzier. “Indonesia Covid-19 app PeduliLindungi3,2 billion,” demikian judul unggahan Bjorka di situs Breach Forums, Selasa (15/11) pukul 06.42 waktu unggahan, atau pukul 13.43 WIB. Bjorka mengungkapkan, data yang dibocorkan mencakup 48 Gigabyte data terkompresi (compressed), 157 GB data tak terkompresi (uncompressed), dengan total 3.250.144.777 data. Data berformat CSV itu berupa “Name, Email, NIK (National ID CARD Number), Phone Number, DOB, Device ID, COVID-19 STATUS, Checkin History, Contact Tracing History, Vaccination etc.”
“The sample data shown also includes data belonging to Johnny G Plate, Luhut Binsar Pandjaitan, and Deddy Corbuzier,” lanjut Bjorka dalam unggahannya. Ia kemudian mengunggah sejumlah sampel bocoran data yang terbagi dalam beberapa kategori. Yakni, data pengguna (Users) sebanyak 94 juta, akun yang diurutkan (Account Sorted) 94 juta, data vaksinasi (Vaccination) 209 juta, riwayat check-in 1,3 miliar, riwayat pelacakan kontak (Contact Tracing History) 1,5 miliar. Bjorka mematok harga bagi miliaran data itu US$100 ribu (sekitar Rp1,6 miliar) dalam bentuk BitCoin.
Pratama mengakui sumber data yang dibocorkan Bjorka belum jelas. Menurutnya, keaslian data itu hanya instansi yang terlibat dalam pembuatan aplikasi PeduliLindungi “yaitu Kominfo, Kementrian BUMN, Kemenkes dan Telkom.” “Dan juga sangat disayangkan data yang sangat sensitif ini tidak maksimal pengamanannya, misalnya dengan melakukan enkripsi datanya. Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana,” Pratama menambahkan. Menurut dia, ada tiga penyebab kebocoran data yang umum terjadi; kelalaian (human error), peretasan, dan kesalahan dalam sistem informasi tersebut. “Jadi setiap kebocoran data tidak selalu disebabkan oleh serangan siber oleh para peretas. Namun bila serangan oleh para peretas, itupun tidak langsung bisa diidentifikasi para penyerangnya. Ini juga terkait sejauh mana kemampuan dari si peretas,” katanya.
Jika data yang dibocorkan benar berasal dari PeduliLindungi, Undang-undang Perlindungan Data Pribadi (UU PDP) terutama Pasal 46 wajib berlaku. “Dan bila benar ini data PeduliLindungi, maka berlaku pada Pasal 46 UU PDP ayat 1 dan 2, yang isinya bahwa dalam hal terjadi kegagalan perlindungan data pribadi maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam,” kata Pratama. “Pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi”, ujar Pratama mengakhiri.
