Rentetan dugaan pencurian data pelanggan milik instansi negara dan BUMN dimulai dari Perusahaan Listrik Negara (PLN). Pada 19 Agustus 2022, di Twitter beredar skrinsut bahwa data pelanggan PLN sedang diobral di forum Internet. Di hari yang sama, data pengguna Wifi.id milik Telkom juga dikabarkan ada di lapak tersebut.
Komposisi data yang diduga bocor antara lain data 17 juta pelanggan PLN, terdiri dari nama, alamat, dan informasi pribadi lain. Dari Telkom, yang diduga bocor adalah 26 juta data nama, NIK, dan browsing history pelanggan IndiHome.
Situasi makin mencengangkan ketika data Badan Intelijen Negara (BIN) terpantau turut diperjualbelikan. Informasi ini dibawa ke Twitter oleh akun @vidyanbanizian pada Minggu (21/8). Menurut skrinsut forum, penjual data BIN adalah akun bernama “strovian” yang memposting dagangannya pada 14 April 2022. Per siang tadi (22/8), skrinsut itu sudah dibagikan lebih dari 35 ribu kali.
Data BIN yang bocor diklaim meliputi 180 dokumen berisi daftar nama agen lengkap dengan jabatan, unit, dan lokasi agen, termasuk pula data laporan dan strategi BIN yang diretas pada 2020.
Dugaan peretasan ini disanggah BIN. Juru Bicara BIN Wawan Hari Purwanto menegaskan semua data BIN aman terkendali. “Data situs BIN sejauh ini aman-aman saja, tidak ada kebocoran sehingga berita kebocoran data BIN adalah hoax. Data diri maupun agen [juga] semua bukan nama yang sesungguhnya,” kata Wawan dilansir Kompas, Minggu (21/8).
Utas @vidyanbanizian juga memperlihatkan skrinsut dari forum tersebut terkait bocornya data milik Universitas Pendidikan Indonesia (UPI) dan Polri. Namun, penjual tidak melego data Polri dengan alasan “ingin melihat reaksi mereka [polisi] terlebih dahulu”. Utas itu kini sudah tidak bisa diakses.
Sejalan dengan BIN, Telkom Group juga menyebut kabar pencurian data pelanggannya sebagai berita bohong. “Kami dari pagi sudah dan terus melakukan pengecekan dan investigasi mengenai keabsahan data-data tersebut. Temuan awal data itu hoaks dan tidak valid,” ujar Senior Vice President Corporate Communication and Investor Relation Telkom Group, Ahmad Reza, dikutip Detik, Minggu (21/8).
Mengingat betapa gigihnya komitmen Kementerian Komunikasi dan Informatika (Kominfo) menjaga data warga negara lewat pendaftaran PSE, respons responsnya sementara ini tergolong normatif. Kominfo mengaku sudah memanggil manajemen PLN untuk menjelaskan dugaan kebocoran ini.
“Sehubungan dengan informasi dugaan penyebaran data pribadi pelanggan PT Perusahaan Listrik Negara [PLN] secara tanpa hak, Direktur Jenderal Aplikasi Informatika Kemkominfo telah melakukan pemanggilan terhadap manajemen PLN pada hari Sabtu, 20 Agustus 2022 untuk meminta keterangan atas dugaan kebocoran data tersebut,” ujar Dirjen Aptika Kemkominfo Semuel A. Pangerapan dalam rilis pada 22 Agustus 2022.
“PLN juga menyampaikan bahwa sistem operasional teknologi informasi PLN masih dalam kondisi aman dan pelayanan masyarakat tetap berjalan dengan baik,” tambah Semuel.
Juru Bicara PLN Gregorius Adi Trianto menambahkan data tersebut adalah replika dan sudah tidak update. Ia tak menjelaskan maksud “data replika”, namun bisa saja merujuk pada data yang dikopi dari server backup.
Lain daripada yang lain, Menkominfo Johnny Gerard Plate membuat reaksi kocak yang berkebalikan dengan keresahan publik. Johnny menyatakan akan mengecek apakah situs forum breahed.to atau BreachForum yang jadi lapak data ilegal itu sudah terdaftar sebagai PSE (Penyelenggara Sistem Elektronik). Jika belum, ya bakal diblokir Kominfo.
“Ya, kalau misalnya ada [dan] tidak terdaftar ya diblokir. Kan harus diblokirnya juga jangan sampai you blokir yang sudah terdaftar. Kan harus dicek, harus diaudit dan harus diverifikasi,” kata Johnny dilansir CNN Indonesia, Jumat (19/8).
Kepala Divisi Akses Internet dari SAFEnet, Unggul Sagena, menyebut rentetan kabar buruk ini menunjukkan semakin gentingnya pengesahan Rancangan Undang-undang Perlindungan Data Pribadi (PDP). RUU PDP selama ini mentok di pembahasan karena pemerintah bersikukuh otoritas pengawasan data harus ada pada Kominfo. Padahal, rutinitas kebocoran data ini membuat kemampuan institusi pemerintah sulit dipercaya publik.
“Tak ada alasan agar otoritas data pribadi [dipaksa] menjadi ranah pemerintah sebagaimana yang terus dipaksakan oleh pemerintah. Masalahnya sudah demikian simpel, [pemerintah] tinggal legawa dan membentuk lembaga pengawas data pribadi yang independen dan transparan sehingga bisa melakukan tugasnya,” jawab Unggul saat dihubungi VICE.