Kebocoran Data PeduliLindungi Valid? Begini Jawaban Pakar

YOGYAKARTA – Hacker Bjorka kembali berulah dengan membocorkan 3,2 miliar data pengguna aplikasi PeduliLindungi. Kebocoran data PeduliLindungi diunggah pada Selasa, 15 November 2022 pagi oleh anggota forum situs breached.to dengan nama identitas Bjorka.

Sebelumnya, Bjorka juga membocorkan 44 juta data pengguna MyPertamina yang mencakup nama, email, NIK, Nomor Pokok Wajib Pajak (NPWP), nomor telepon, alamat, jenis kelamin, penghasilan, dan lain-lain.

Sedianya, Bjorka sudah memberikan sinyal bakal meretas PeduliLindungi,ketika ia membocorkan data MyPertamina pada 10 November lalu di saluran Telegramnya.

Kebocoran Data PeduliLindungi Menurut Pakar 

Ketua Lembaga Riset Siber Indonesia CISSReC Dr. Pratama Persadha mengatakan, data PeduliLindungi yang dibocorkan Bjorka benar-benar valid dan terdata di data kependudukan.

Bjorka menjual 3,2 miliar data PeduliLindungi dengan harga 100.000 dolar AS atau sekitar Rp1,5 miliar. Transaksi jual beli dilakukan dengan mata uang Bitcoin.

"Data itu terbagi ke dalam data pengguna, data vaksinasi, riwayat pelacakan, serta riwayat check in pengguna aplikasi dengan memberikan sampel data," kata Pratama, dikutip VOI dari ANTARA, Kamis, 17 November 2022.

Pratama menjelaskan, Bjorka membagikan data tersebut pada Selasa pagi lewat situr breached.to. Sebelum mengunggah data, Bjorka memang sudah berjanji untuk bocorkan aplikasi PeduliLindungi ke publik setelah aplikasi MyPertamina.

Dia menambahkan, data PeduliLindungi yang dijual Bjorka mencakup nama, email, nomor induk kependudukan (NIK), nomor kartu tanda penduduk (KTP), nomor telepon, tanggal lahir, identitas perangkat, status COVID-19, riwayat check in, riwayat pelacakan kontak, vaksinasi, dan masih banyak data lainnya.

Data yang diklaim oleh Bjorka, kata Pratama, sebanyak 3.250.144.777 data dengan total ukuran mencapai 157 gigabita bila dalam keadaan tidak dikompres.

Disebutkan pula bahwa data sampelnya dibagi menjadi lima file, yakni data pengguna sebanyak 94 juta, akun yang sudah disortir sebanyak 94 juta, data vaksinasi 209 juta, data riwayat check in 1,3 miliar, dan riwayat pelacakan kontak sebanyak 1,5 miliar.

Ketika data yang dibagikan Bjorka dicek menggunakan aplikasi pengecek nomor KTP, Pratama mengungkapkan bahwa data tersebut benar valid terdata di data kependudukan.

"Jika diperiksa lebih lanjut pada sampel datanya, ada banyak koordinat lokasi yang bertepatan dengan fitur check in PeduliLindungi di tempat-tempat publik," ucap pakar keamanan siber ini.

Hingga saat ini, lanjut Pratama, sumber datanya masih belum jelas. Akan tetapi, soal asli atau tidaknya data ini hanya instansi yang terlibat dalam pembuatan aplikasi PeduliLindungi, yaitu Kominfo, Kementerian BUMN, Kemenkes, dan Telkom.

Pratama menyayangkan data yang sangat sensitif itu tidak maksimal pengamanannya, misalnya dengan melakukan enkripsi datanya.

Menurut Pratama, penting melakukan audit dan investigasi forensik digital (digital forensic) guna memastikan kebocoran data ini dari mana.

Yang Harus Dilakukan Pengendali Data

Menurut Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi, apabila data yang dibocorkan Bjorka adalah benar milik aplikasi PeduliLindungi, maka pihak pengendali data wajib menyampaikan pemberitahuan tertulis paling lambat 3x24 jam.

"Dan bila benar ini data PeduliLindungi, maka berlaku pada Pasal 46 UU PDP ayat 1 dan 2, yang isinya bahwa dalam hal terjadi kegagalan perlindungan data pribadi maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam," tutur Pratama.

"Pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi".

Demikian informasi seputar kebocoran data PeduliLindungi.