Kebocoran 896 Data Nasabah KreditPlus Jadi Alarm Pentingnya RUU PDP
JAKARTA - Kasus kebocoran data kembali terjadi, kali ini dialami perusahaan fintech KreditPlus. Diduga sekitar 896 data pribadi pengguna KreditPlus yang bocor diperjualbelikan di forum hacker.
Data yang bocor meliputi nama, KTP, email, password, alamat, nomor HP, data pekerjaan, hingga data keluarga penjamin. Temuan data nasabah KreditPlus ini diketahui pegiat keamanan siber Teguh Aprianto yang kemudian membagikannya ke laman Twitter pribadinya.
KreditPlus sendiri merupakan layanan pembiayaan produk multi guna sepeda motor, mobil, dan peralatan berat yang dimiliki oleh PT Finansia Multi Finance, dan berdiri sejak 1994. Perusahaan finansial ini juga telah terdaftar dan diawasi langsung oleh Otoritas Jasa Keuangan (OJK)
Meski belakangan, thread yang mencantumkan informasi penjualan database dari nasabah KreditPlus yang bocor itu kemudian sudah dihapus. Pengamat keamanan siber dari CISSReC, Pratama Husada mengatakan jika kebocoran data nasabah KreditPlus sudah lama dibagikan sejak bulan 16 Juli lalu.
Menanti UU Perlindungan Data Pribadi
Database tersebut disimpan dalam file unduhan sebesar 78MB yang masih harus di ekstrak untuk mendapatkan data pelanggan KreditPlus sebesar 430MB. File-file tersebut berisikan 819.976 data nasabah lengkap dengan beberapa data sensitif lainnya yang sangat berbahaya, jika dimanfaatkan untuk melakukan penipuan dan tindak kejahatan lainnya.
“Masalah utama di tanah air belum ada UU yang memaksa para penyedia jasa sistem elektronik ini untuk mengamankan dengan maksimal data masyarakat yang dihimpunnya. Sehingga data yang seharusnya semua dienkripsi, masih bisa dilihat dengan mata telanjang," jelas Pratama dalam keterangan pers yang diterima VOI, Selasa 4 Juli.
Dalam hal ini negara punya tanggungjawab untuk melakukan percepatan pembahasan RUU Perlindungan Data Pribadi. Nantinya dalam UU tersebut harus disebutkan bahwa setiap penyedia jasa sistem transaksi elektronik (PSTE) yang tidak mengamankan data masyarakat, bisa dituntut ganti rugi dan dibawa ke pengadilan.
Baca juga:
Ia mencontohkan, beberapa negara di Eropa telah menerapkan regulasi perlindungan data konsumen General Data Protection Regulation (GDPR). Di mana setiap data yang dihimpun harus diamankan dengan enkripsi dan bila terbukti lalai, maka penyedia jasa bisa dikenai tuntutan hingga denda sampai 20 juta euro.
"Bisa dibayangkan bila kreditplus ini ada di luar negeri, bisa dikenai pasal kelalaian dalam GDPR. Sama juga dengan peristiwa kebocoran data yang sudah terjadi di tanah air sebelumnya," terang pria yang juga dosen pascasarjana Sekolah Tinggi Intelijen Negara (STIN) ini.
Karenanya Pratama meninta pemerintah untuk segera mempercepat pembahasan RUU Perlindungan Data Pribadi supaya kasus kebocoran data seperti ini bisa diusut secara tuntas dan keamanan data pribadi masyarakat bisa terjamin.
Menjadi pilihan bagi penyelenggara teknologi untuk melindungi semua data agar dienkripsi. Data offline juga harus mendapatkan model pengamanan yang tidak kalah ketat.
“Untuk mencegah pencurian data berulang, perlu diadakan penetration test dan juga bug bounty. Setiap PSTE bisa memberikan reward yang layak pada setiap pihak yang menemukan celah keamanan pada sistem mereka. Hal ini sering dilakukan Apple, Google, FB, Amazon dan raksasa teknologi lainnya,” jelasnya.
Peristiwa pencurian data yang terus berulang ini sebaiknya mendorong Kominfo dan BSSN untuk lebih sering turun ke lapangan melakukan edukasi dan memaksa PSTE untuk membangun sistem yang lebih baik, terutama dalam melindungi data nasabah atau pelanggan platform mereka. Karena keamanan siber ini akan menjadi salah satu hal yang dijadikan patokan investor untuk berbisnis di tanah air.
“Sebelum pemilik layanan bisa mengamankan data pribadi penggunanya, kita juga harus bisa mengamankan data pribadi kita sendiri. Misalnya yang buat password yang baik dan kuat, aktifkan two factor authentication. Pasang anti virus di setiap gawai yang digunakan, jangan menggunakan WiFi gratisan, jangan membuka link yang tidak dikenal dan mencurigakan, serta pengamanan standar lainnya,” jelas Pratama.