Murni Diretas, Berikut Daftar Data Apa Saja yang Berhasil Dibobol dari Nasabah BRI Life

JAKARTA - Untuk kesekian kalinya masyarakat di Tanah Air kembali dikejutkan dengan kabar kebocoran data pribadi. Perusahaan pemantau kejahatan siber, Hudson Rock mengatakan dalam akun Twitter-nya bahwa nasabah BRI Life telah menjadi korban kebocoran data tersebut.

Dalam tangkapan layar yang diunggah @HRock, terlihat banyak domain dan subdomain dari BRI yang datanya diambil. Pakar keamanan siber Pratama Persadha menjelaskan bahwa pada saat dicek di raid forums, ada akun bernama Reckt sempat mengunggah sampel data yang dia jual, namun beberapa saat kemudian dihapus.

Akun tersebut dilaporkan telah menjual database nasabah sebanyak 2 juta lebih nasabah BRI Life Insurance dan scan dokumen lebih dari 463 ribu. Dijelaskan Pratama, database-nya memiliki pin polis asuransi, detail lengkap tentang pelanggan yang menggunakan asuransi BRI Life, total manfaat, total periode tahun.

Adapula KTP, KK, NPWP, foto buku rekening bank, akta kelahiran, akta kematian, surat perjanjian, bukti transfer, bukti keuangan, bukti surat kesehatan seperti EKG, diabetes dan lainnya.

We identified multiple compromised employee computers of BRI Life and Bank Rakyat Indonesia which may have helped the hacker obtain an initial access to the company.

Learn how to use Cavalier to protect your organization from this attack vector -https://t.co/slsshxX51N pic.twitter.com/EjfdpPHdGr

— Hudson Rock (@HRock) July 27, 2021

“Ada sebanyak 463.519 file dokumen dengan ukuran mencapai 252 GB dan juga ada file database berisi 2 juta nasabah BRI Life berukuran 410MB. Untuk sampel sendiri yang diberikan berukuran 2,5 GB berisi banyak file dokumen. Dua file lengkap tersebut ditawarkan dengan harga 7.000 dollar AS setara Rp101 juta dan dibayarkan dengan bitcoin,” ungkap Pratama dalam keterangan resmi yang diterima VOI, Rabu 28 Juli.

Tidak hanya itu, terdapat pula data mutasi rekening, bukti transfer setoran asuransi, ada juga tangkapan layar perbicangan WA nasabah dengan pegawai BRI Life, dokumen pendaftaran asuransi, beberapa formulir pernyataan diri dan kesanggupan, bahkan lengkap dengan polis asuransi jiwa.

“Artinya dari klaim Hudson Rock sebagai pihak yang menginformasikan kebocoran maupun pelaku penjual data, kemungkinan besar benar. Bahwa data yang mereka klaim tersebut memang berisi berbagai data dari nasabah BRI Life,” jelas Pratama.

Ditambahkan Pratama tentu ini menjadi perhatian serius. Bila diperhatikan dari tangkapan layar yang dibagikan Hudson Rock, data jelas diambil karena pembobolan situs. Bisa di lihat bagaimana situs-situs BRI Life disebutkan bahkan beserta username atau akun login, password dan IP.

“Perlu dilakukan forensik digital untuk mengetahui celah keamanan mana yang dipakai untuk menerobos, apakah dari sisi SQL (Structured Query Language) sehingga diekspos SQL Injection atau ada celah keamanan lain. Seperti adanya compromised dari akun BRI Life yang juga berpotensi dimanfaatkan hacker untuk masuk ke dalam sistem,” kata Pratama.

Menurut Pratama, dari sini juga bisa disimpulkan bahwa sumber kebocoran data adalah akibat peretasan, bukan akibat jual beli data dari pihak internal atau pegawai. Oleh karena itu, Pratama menegaskan kepada pemerintah untuk segera mengesahkan UU PDP (Perlindungan Data Pribadi), asalkan mempunyai pasal yang benar-benar kuat dan bertujuan mengamankan data masyarakat.

Sebaiknya, Pratama meminta adanya penguatan sistem dan SDM harus ditingkatkan, adopsi teknologi utamanya untuk pengamanan data juga perlu dilakukan. Indonesia sendiri masih dianggap rawan peretasan karena memang kesadaran keamanan siber masih rendah. Yang terpenting dibutuhkan UU PDP yang dapat bertindak tegas dan ketat seperti di Eropa. Ini menjadi faktor utama, banyak peretasan besar di Tanah Air yang menyasar pencurian data pribadi.

“Kebocoran data di Indonesia sudah kritis seperti ini seharusnya Pemerintah dan DPR bisa sepakat untuk menggolkan UU PDP. Tanpa UU PDP yang kuat, para pengelola data pribadi baik lembaga negara maupun swasta tidak akan bisa dimintai pertanggungjawaban lebih jauh dan tidak akan bisa memaksa mereka untuk meningkatkan teknologi, SDM dan keamanan sistem informasinya,” tegas Pratama.

Sementara itu, juru bicara Kementerian Komunikasi dan Informatika (Kemenkominfo) Dedy Permadi menyatakan hingga kini pihaknya masih melakukan investigasi terkait kebocoran data tersebut.

"Sampai saat ini investigasi masih terus berjalan dan hasil belum dapat disimpulkan," ujar Dedy.