Sebanyak 1,3 miliar item data yang terkait 325 juta nomor ponsel di Indonesia, diduga kuat berhasil dicuri peretas. Data yang terkumpul dari hasil registrasi nomor ponsel sepanjang 2018-2020 tersebut kini dijual di situs jual-beli data ilegal Breach Forum. Kebocoran ini diketahui sejak 31 Agustus 2022, setelah jadi perbincangan di media sosial.
Meski belum diketahui data tersebut diretas dari pihak mana, skandal terbaru bobroknya perlindungan data pribadi di Indonesia ini membuat Kementerian Komunikasi dan Informatika (Kominfo) jadi bulan-bulanan netizen.
Komponen data yang bocor meliputi nomor telepon, Nomor Induk Kependudukan (NIK), nama operator seluler terdaftar, dan tanggal registrasi. Data tanpa kompres sebesar 87 GB tersebut dijual hampir Rp750 juta. Bjorka, username pedagang di forum, turut menyertakan sampel data sebesar 2 GB.
Si penjual data itu turut memajang logo Kominfo sebagai header di lapaknya, sehingga memunculkan asumsi data tersebut bocor dari kementerian tersebut. Bjorka juga adalah pedagang 26 juta data pelanggan IndiHome pada Agustus lalu.
Peneliti keamanan siber Afif Hidayatullah menyebut sampel dari Bjorka tersebut valid. Salah satu NIK yang dites acak oleh Afif, milik seorang warga dengan NIK berawalan 3671, memang berada di Tangerang, Banten, sesuai kode angka.
“Saya sudah melakukan tes random dengan sumber testing yang ada di publik, dan saya memastikan bahwa NIK dan nomor hape yang tersebar itu benar,” kata Afif kepada Kompas. “Dan ketika saya periksa lebih lanjut ternyata pemilik NIK [penduduk Tangerang] itu, yang bernama [inisial] TJ, [ternyata] sesuai dengan nama nomor hape yang ada [saat dicek] di GetContact. Sehingga, saya dapat menyimpulkan data yang diberikan [forum] masih valid.”
Pengecekan validitas sampel juga dilakukan praktisi keamanan siber Alfons Tanujaya. Namun, Alfons belum dapat memastikan dari mana asal data ini. Ia cenderung menganggap data ini bukan dari Kominfo karena registrasi ponsel di Kominfo mensyaratkan nomor Kartu Keluarga (KK). Data nomor KK tersebut absen dalam data yang bocor. Namun, ia tak menutup kemungkinan jika data berasal dari kementerian tersebut.
“Sumber data kebocorannya sih kayaknya bukan dari Telkom karena mengandung data provider lain,” tambah Alfons dilansir CNBC Indonesia.
Merespons tudingan ini, keterangan Sekretaris Jenderal Kominfo Mira Tayyiba saat dikonfirmasi pada 1 September 2022, tidak menjelaskan apakah data tersebut benar atau rekayasa. Mira hanya mengatakan kebocoran bukan dari server Kominfo.
“Tidak ada, [kebocoran] bukan dari Kominfo, formatnya juga beda. Yang mengecek [soal kebocoran tersebut] Pak Ismail [Direktur Jenderal Sumber Daya dan Perangkat Pos dan Informatika Kominfo],” kata Mira saat dikonfirmasi Tirto. Tidak dijelaskan juga apa yang akan Kominfo lakukan untuk merespons dugaan kebocoran ini.
Kasus ini memperpanjang deret kasus pencurian data pribadi secara massal di Indonesia. Baru 19 Agustus silam, sebanyak 17 juta item data pelanggan Perusahaan Listrik Negara (PLN) diobral. Tidak lama sebelumnya, sebanyak 26 juta data nama, NIK, dan browsing history pelanggan IndiHome juga diretas dan dijual di forum ilegal.
Pada 21 Agustus, giliran Badan Intelijen Negara (BIN) jadi korban jual beli data ilegal. Data BIN yang bocor diklaim meliputi 180 dokumen berisi daftar nama agen lengkap dengan jabatan, unit, dan lokasi agen. Hingga kini belum ada kejelasan bagaimana pertanggungjawaban Kominfo maupun instansi terkait terhadap pelanggan yang data pribadinya bocor.
Dihubungi VICE pada Agustus lalu, Kepala Divisi Akses Internet dari SAFEnet Unggul Sagena menyebut rentetan masalah menunjukkan semakin gentingnya pengesahan Rancangan Undang-undang Perlindungan Data Pribadi (PDP). RUU PDP selama ini mentok di pembahasan karena pemerintah bersikukuh otoritas pengawasan data harus ada pada Kominfo. Padahal, rutinitas kebocoran data ini membuat kemampuan institusi pemerintah sulit dipercaya publik.
“Tak ada alasan agar otoritas data pribadi [dipaksa] menjadi ranah pemerintah sebagaimana yang terus dipaksakan oleh pemerintah. Masalahnya sudah demikian simpel, [pemerintah] tinggal legawa dan membentuk lembaga pengawas data pribadi yang independen dan transparan sehingga bisa melakukan tugasnya,” ujar Unggul kepada VICE.
Ngomong-ngomong, data registrasi pengguna seluler pernah juga diisukan bocor di tahun 2018. Rudiantara, menkominfo saat itu, mengelak bahwa data bocor dari Kominfo. Ia menyebut kemungkinan data diretas dari Dukcapil. Belakangan Kominfo mengoreksi bahwa yang terjadi bukan kebocoran, melainkan “penyalahgunaan NIK dan KK di lapangan”.