Bocor lagi...bocor lagi data pribadi

Kebocoran data pribadi kembali terjadi di Indonesia. Sebanyak 279 juta data penduduk Indonesia diduga bocor dan dijual di forum peretas Raid Forums pada 12 Mei 2021.  

Kabar dari dunia maya menyatakan data itu diunggah oleh akun bernama kotz. Dalam deskripsinya, data yang dimilikinya itu terdiri dari nama lengkap, KTP, nomor telepon, email, NID, dan alamat.

Akun itu juga memberikan 1 juta data sampel secara gratis untuk diuji dari 279 juta data yang tersedia. Bahkan, akun itu menyebut ada 20 juta data foto pribadi di dalam data yang dimilikinya itu.

Ada tiga alamat sampel data yang dibocorkan, yakni https://bayfiles.com/73P2Gfv8u5/indonesia_zip; https://anonfiles.com/B5P2G8v5u5/indonesia_zip; https://mega.nz/file/e94kgQgC#4HVek8Wrsv...YdonEWRgx0. Ketiga alamat untuk mengunduh data itu menggunakan kata sandi raidforums.

Untuk lebih meyakinkan, akun itu juga memberi tahu alamat kontak Telegramnya. Siapapun pihak yang hendak bertanya lebih lanjut dengan data itu bisa mengakses akun Telegram kotz1234567.

Insiden di atas seperti melengkapi rentetan insiden kebocoran data yang terjadi sebelumnya. Pada 17 April 2020, Tokopedia mengalami kebocoran data pribadi penggunanya, setidaknya terhadap 12.115.583 akun.

Tidak lama setelah insiden itu, kembali terjadi kebocoran data yang dialami oleh Bhineka.com, sebuah online store business.

Sekelompok peretas ShinyHunters mengklaim memiliki 1,2 juta data pengguna Bhinneka.com. Data tersebut dijual senilai US$12.000.

Beberapa waktu sebelumnya, insiden kebocoran data juga dialami oleh platform eCommerce lainnya, Bukalapak. Tercatat 12.957.573 akun pengguna platform tersebut diperjualbelikan.

Kebocoran data tidak hanya terjadi pada sektor swasta, pada 21 Mei 2020, akun Twitter @underthebreach menyebutkan adanya penjualan 2 juta data pemilih.

Penjual juga mengaku memiliki 200 juta data penduduk Indonesia, yang terdiri dari nama lengkap, alamat, nomor identitas, tanggal lahir, umur, status kewarganegaraan, dan jenis kelamin, yang berasal dari Daftar Pemilih Tetap (DPT) yang dikelola Komisi Pemilihan Umum (KPU).

Kebocoran data kependudukan seperti nama lengkap, tanggal lahir, NIK, email, dan nomor ponsel berpotensi disalahgunakan karena data ini bisa dieksploitasi untuk sejumlah modus kejahatan online.

Sementara itu, Kementrian Komunikasi dan Informatika (Kominfo) mengaku telah memblokir sejumlah akun dan website yang menyebarkan data pribadi 279 juta penduduk Indonesia.

Raid Forums yang teridentifikasi sebagai forum yang banyak menyebarkan konten yang melanggar perundang-undangan di Indonesia, sehingga website tersebut, termasuk akun bernama Kotz sedang dilakukan proses pemblokiran.

Tautan untuk mengunduh data pribadi, yakni tautan data di bayfiles.com, mega.nz, dan anonfiles.com kesemuanya telah dilakukan pemblokiran.

Kominfo telah mengidentifikasi jumlah data yang lebih besar dan memperluas investigasi terhadap sekitar 1 juta data yang diklaim sebagai data sampel oleh penjual.

Dari hasil investigasi secara acak terhadap sekitar 1 juta data tersebut, dapat disimpulkan bahwa Kominfo dan Badan Siber dan Sandi Negara (BSSN) perlu melakukan investigasi lebih mendalam bersama dengan BPJS Kesehatan sebagai pemilik data yang dibocorkan.

Tak Tuntas
Berulangnya kasus kebocoran data pribadi ini seharusnya tak boleh terjadi jika penegakkan hukum terhadap pelanggaran dilakukan oleh regulator.

Belum disahkannya Rancangan Undang-undang Perlindungan Data Pribadi tak bisa menjadi alasan kelalaian ditolerir.

Sebenarnya, Indonesia tak kosong aturan soal perlindungan data pribadi. Ada 30 UU berbeda yang memuat ketentuan mengenai perlindungan pribadi di Indonesia. UU ini bersifat sektoral, mengatur ranahnya sendiri-sendiri, seperti kesehatan, administrasi penduduk, perbankan, atau jasa keuangan. Misalnya, pasal 58 UU 24/2013 atas perubahan UU 23/2006 tentang Administrasi Kependudukan (Adminduk) mengatur bahwa pembukaan informasi data kependudukan,

Bahkan, Undang-undang Informasi dan Transaksi Elektronik (ITE) memiliki turunan aturan soal Penyelenggara Sistem Elektronik (PSE) memiliki kewajiban memenuhi Standar Pelindungan Data Pribadi yang dimuat dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelengaraan Sistem dan Transaksi Elektronik, serta Peraturan Menteri Kominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Seandainya regulasi ini ditegakkan, tak hanya warga negara terlindungi, tetapi perbaikan prosedur penanganan data pun menjadi lebih baik sehingga kebocoran tak berulang.

@IndoTelko