JAKARTA – Direktorat Tindak Pidana Siber Bareskrim Polri bakal memeriksa Direktur Utama BPJS Kesehatan Ali Ghufron Mukti, terkait kasus kebocoran 279 juta data penduduk Indonesia di internet.
Direktur Tindak Pidana Siber Bareskrim Polri Brigjen Slamet Uliandi mengatakan, keterangan yang akan digali seputar pengoperasian data yang dimiliki BPJS Kesehatan.
“Dikonfirmasi (berkaitan) siapa yang mengoperasikan data,” kata Slamet lewat keterangan tertulis, Sabtu (22/5/2021).
Setelah itu, kata Slamet, penyidik Siber akan melakukan digital forensik.
Artinya, penyidik akan menganalisa bukti-bukti digital terkait kasus kebocoran data penduduk tersebut.
“(Usai pemeriksaan) lanjut digital forensik,” ucapnya.
Sebelumnya, Kabareskrim Komjen Agus Andrianto mengintruksikan jajarannya untuk mengusut kasus dugaan kebocoran 279 juta data penduduk Indonesia di internet.
Menurut Agus, pihaknya telah mengintruksikan Direktorat Tindak Pidana Siber Bareskrim Polri sebagai penyidik yang menangani kasus ini.
“Sejak isu bergulir, saya sudah perintahkan Dirtipidsiber untuk melakukan lidik hal tersebut,” kata Agus saat dikonfirmasi, Jumat (21/5/2021).
Agus menambahkan, pihaknya tengah berkoordinasi dengan berbagai pihak dan instansi terkait, untuk menelusuri kasus dugaan kebocoran data penduduk ini.
“Sedang dipersiapkan mindik (manajemen penyelidikan) untuk legalitas pelaksanaan anggota di lapangan.”
“Saat ini dari Kominfo, Kependudukan dan BPJS sedang mendalami hal kebocoran tersebut,” jelasnya.
Sebelumnya diberitakan, jagad dunia maya dihebohkan dengan sebuah utas mengenai bocornya 279 juta data penduduk Indonesia.
Akun @ndagels di Twitter menginformasikan kebocoran itu dan cukup bikin heboh para warganet.
“Hayoloh kenapa ga rame ini data 279 juta penduduk indonesia bocor dan dijual dan bahkan data orang yg udah meninggal, kira – kira dari instansi mana?” Tulis @ndagels.
Pengguna Twitter dengan handle @Br_AM mengungkap dataset yang diduga berisi data pribadi penduduk Indonesia itu dijual dengan harga 0,15 bitcoin, atau sekitar Rp 84,4 juta.
Informasi pribadi yang bocor meliputi NIK (Nomor Induk Kependudukan), nama, alamat, nomor telepon bahkan kabarnya juga jumlah gaji.
Penelusuran Tribun, data diunggah pertama kali oleh sosok dengan nama online kotz di Raid Forums.
Belum jelas dari mana dia berhasil mendapatkan data-data itu.
Dirjen Dukcapil Kementerian Dalam Negeri Zudan Arif Fakrulloh saat dikonfirmasi Tribun membenarkan hal tersebut.
Nama user yang mengiklankan data tersebut adalah Kotz.
“Pada iklan di website tersebut yang bersangkutan memberikan link sampel data individu yang bisa didownload sebagai sampel data.”
“Data yang sudah didownload berbentuk file CSV (comma separated value) dan setelah diimport berjumlah 1.000.000 rows,” kata Zudan saat dikonfirmasi Tribun, Kamis (20/5/2021).
Berdasarkan hasil analisis Tim Ditjen Dukcapil Kementerian Dalam Negeri pada kasus kebocoran data individu yang infonya berasal dari Twitter, didapat fakta pelaku mengiklankan penjualan data individu di website.
Alamatnya, di https://raidforums.com/Thread-SELLING-Indonesian-full-Citizen-200M-NIK-KPT-PHONE-NAME-MAI-LADDRESS-Free-1Million.
Lebih jauh Zudan mengungkapkan, hasil penelusuran tim dari hasil import data sampel tersebut, diperoleh struktur data yang terdiri dari kolom-kolom sebagai berikut:
PSNOKA, PSNOKALAMA, PSNOKALAMA2, NAMA, NMCETAK, JENKEL, AGAMA, TMPLHR, TGLLHR, FLAGTANGGUNGAN, NOHP, NIK, NOKTP, TMT, TAT, NPWP, EMAIL, NOKA, KDHUBKEL.
KDSTAWIN, KDNEGARA, KDGOLDARAH, KDSTATUSPST, KDKANTOR, TSINPUT, TSUPDATE, USERINPUT, USERUPDATE, TSSTATUS, DAFTAR.
“Berdasarkan hal itu, dari struktur dan pola datanya, saya memastikan itu bukan data yang bersumber dari dukcapil.”
“Karena struktur data di Dukcapil tidak seperti itu. Struktur data di dukcapil tidak ada tanggungan, email, npwp, no hp, tmt, tat,” beber Zudan.
Menurut Pakar Keamanan Siber dari Vaksincom Alfons Tanujaya, sampel tersebut datanya valid.
Hal itu berdasarkan pengecekan langsung dari data yang diunduh dari Raid Forums.
Alfons angsung melakukan pengecekan dari Vaksincom, dan hasilnya data yang bocor memang data nomor BPJS, dan ketika dikroscek ke situs daftar.bpjs-kesehatan.go.id/bpjs-checking, hasilnya cocok.
“Sudah dicek dan memang valid dan sinkron di BPJS.”
“Masyarakat hanya bisa berdoa semoga para pengelola data diberikan kesadaran bahwa data yang dikelolanya adalah amanah yang harus dijaga”
“Dan kebocoran data akan merugikan masyarakat luas,” ujar Alfons saat dihubungi, Jumat (21/5/2021).
Hal serupa juga disampaikan pakar Keamanan Siber dari CISSReC Pratama Persadha.
Ia menjelaskan dalam data yang diunduh yakni file CSV itu tertera NIK, nomor telepon, alamat, dan id bpjs.
“Memang benar data tersebut valid,” ucap Pratama.
Hal yang meyakinkan dirinya karena dalam file itu terdapat data NOKA atau nomor kartu BPJS Kesehatan.
Berdasar klaim pelaku bernama Kotz, dirinya mempunyai data file sebanyak 272.788.202 juta penduduk.
Pratama melihat hal berbanding terbalik dengan data terakhir anggota BPJS kesehatan di akhir 2020 adalah 222 juta.
“Dari nomor BPJS Kesehatan yang ada di file bila dicek online ternyata datanya benar sama dengan nama yang ada di file.”
“Jadi memang kemungkinan besar data tersebut berasal dari BPJS Kesehatan,” jelas Pratama.
Bila di cek, data sample sebesar 240MB ini berisi nomor identitas kependudukan (NIK), nomor HP, alamat, alamat email, Nomor Pokok Wajib Pajak (NPWP), tempat tanggal lahir, jenis kelamin, jumlah tanggungan dan data pribadi lainnya.
Bahkan, si penyebar data mengklaim ada 20 juta data yang berisi foto.
Dugaan sementara data tersebut bocor karena peretas melakukan phishing yang ditargetkan, atau jenis serangan rekayasa sosial (social engineering).
sumber : tribunnews.com