Kebocoran data pelanggan kembali mengguncang Tanah Air. Tak tanggung-tanggung kebocoran data terjadi setidaknya pada perusahaan dengan jumlah pelanggan besar. Mengapa bisa terjadi dan siapa yang bertanggung jawab?
Kebocoran data ini meliputi jutaan pelanggan di berbagai perusahaan. Pada bulan Agustus 2022 saja, sudah terjadi 5 pemberitaan tentang kebocoran data. Apa yang terjadi ini bisa merugikan pelanggan karena data-data pribadi tersebar ke pihak-pihak yang tidak bertanggung jawab sehingga berpotensi terjadi penyalahgunaan.
Data pelanggan yang bocor itu juga terjadi di perusahaan pelat merah alias milik pemerintah. Seperti kebocoran data pelanggan di PT Perusahaan Listrik Negara (Persero). Hal ini terungkap saat pengguna media sosial khususnya Twitter dihebohkan dengan adanya dugaan kebocoran data 17 juta pelanggan PLN.
Data tersebut dijual di situs breached.to. Berdasarkan tangkapan layar yang dibagikan dalam situs tersebut, tampak akun bernama ‘loliyta’, yang mengklaim menjual data pengguna PLN meliputi ID lapangan, ID pelanggan, nama pelanggan, tipe energi, KWH, alamat rumah, nomor meteran, tipe meteran, hingga nama unit UPI.
Selain PLN, publik juga dikejutkan dengan kabar bahwa 26 juta data riwayat browsing atau penelusuran pengguna IndiHome milik PT Telkom Indonesia bocor dan disebar di forum hacker. Data tersebut diunggah oleh akun bernama Bjorka di situs breached.to.
Dia mengklaim ada 26.730.798 rekaman data pelanggan IndiHome mencakup tanggal, keyword (kata kunci), domain, platform, browser, url atau link, google keyword, IP (internet protocol), screen resolution, lokasi geografis, hingga user info seperti email, nama, gender, national id card number atau NIK.
Muncul pula kabar yang menyebut adanya kebocoran data pengguna Gojek yang diunggah akun @/ndagels di Twitter. Dalam unggahannya, pemilik akun memperlihatkan data yang dijual apocalypse99 melalui forum komunitas anonim di dunia maya.
Ada pula dugaan kebocoran data lagi-lagi dari BUMN yakni PT Jasa Marga yang dibagikan di forum hackers breached.to. Akun bernama Desorden mengklaim memiliki 252GB data berisi pengkodean, dan dokumen, di lima server mereka. Data yang dibobol tersebut melibatkan data pengguna, pelanggan, karyawan, data perusahaan dan keuangan Jasa Marga.
Kasus kebocoran juga terjadi pada beberapa perusahaan lainnya. Termasuk beredar kabar sebanyak 347GB dokumen penting milik 21.000 perusahaan Indonesia dan perusahaan asing yang memiliki cabang di Indonesia tersebar bebas di darkweb. Pihak yang mengunggah data tersebut mengeklaim data ini berisi kartu tanda penduduk (KTP) dan nomor pokok wajib pajak (NPWP) direksi dan komisaris, NPWP perusahaan, dan kartu keluarga (KK) pemegang saham.
Selain itu, juga terdapat beberapa paspor pengurus perusahaan, akta pendirian perusahaan dan akta perubahan perusahaan, surat pengukuhan pengusaha kena pajak, pendaftaran perusahaan, izin usaha. Bahkan, data tersebut juga berisi laporan keuangan, laporan rugi laba, catatan transfer, rekening koran, surat pemberitahuan tahunan (SPT), surat keterangan domisili, rekonsiliasi bank, dan banyak lagi.
Isu heboh terakhir adalah sebuah postingan Twitter pada Kamis (1/9/2022), yang melaporkan terjadi kebocoran data pribadi para pendaftar nomor hp dengan NIK dan KK di forum BreachForums (breached.to). Tak tanggung-tanggung, jumlah kebocoran mencapai lebih dari 1,3 miliar data yang mencakup NIK, No HP, provider, tgl registrasi, yang mana ukuran file utuhnya menyentuh 87 GB dengan format CSV.
“Tahun 2018 @kemkominfo memaksa kita utk melakukan registrasi nomor HP menggunakan NIK dan KK, dijanjikan akan terbebas dari spam. Terbebas dari spam tak didapat, kini data registrasi no HP (NIK, No HP, provider, tgl registrasi) sebanyak 1,3 miliar bocor & dijual #BlokirKominfo,” cuit @secgron.
Data dibagikan oleh pengguna BreachForums dengan nama akun Bjorka. Dalam postingannya, ia menuliskan bahwa data dikumpulkan dari periode pendaftaran dimulai dari 31 Oktober 2017. Tak ketinggalan ia juga membagikan sebanyak 2 juta sampel data yang bisa diunduh siapa saja secara gratis. Diketahui operator yang tercantum di sampel data adalah Telkomsel, Indosat, Tri, XL, dan Smartfren.
Bagaimana respons perusahaan? Semua sontak membantah datanya telah bocor keluar. Ada yang beralasan datanya aman, yang beredar di luar adalah replikasi. Yang jelas mereka mencari celah keamaan yang bocor dan mulai memperkuat security systemnya. Sementara untuk isu terakhir, Kominfo menyebut sedang melakukan penelusuran lebih lanjut terkait sumber data dan hal-hal lain terkait dengan dugaan kebocoran data.
Mudahnya Data Bocor
Kebocoran data seperti sebuah kewajaran di Tanah Air. Tak jarang email kita dimasuki spam, atau seringkali ada telepon, SMS atau pesan WhatsApp yang masuk ke smartphone milik pribadi. Entah tahu dari mana mereka mengetahui nomor-nomor orang lain termasuk kita bahkan lengkap dengan namanya. Begitu mudahnya data-data kita tersebar secara online.
Lembaga Riset Siber Indonesia CISSRec mengutip catatan Badan Siber dan Sandi Negara (BSSN), menyebutkan anomaly traffic di Indonesia naik dari 2020 sebanyak lebih dari 800 juta jadi 1,6 milliar pada 2021. Anomaly traffic yang dimaksud ini, bisa diartikan sebagai serangan dan lalu lintas data yang tidak biasa, seperti serangan DDoS.
“Saat ini keamanan sistem informasi sebagian besar lembaga negara di Tanah Air masih sangat kurang. Padahal, semua bisa jadi target peretasan dan pencurian data baik lewat aksi offline maupun peretasan online,” ungkap CISSRec.
Perlindungan data konsumen atau warga memang sangat lemah. Tidak adanya sistem security yang ketat ditambah dengan tidak adanya sanksi yang tegas terhadap para pelaku pencurian data menjadikan aksi ini semakin menjadi-jadi dan berulang.
Country Manager Indonesia, Palo Alto Networks, Adi Rusli, mengatakan, serangan siber telah menjadi masalah yang berulang, baik secara global maupun di Indonesia. Serangan bisa berupa phising, malware dan ransomware, atau bahkan pembagian data sensitif secara tidak disengaja oleh karyawan.
“Terlepas dari penyebabnya, organisasi perlu meningkatkan upaya dalam menerapkan langkah-langkah keamanan siber yang diperlukan, seperti sistem pencegahan kehilangan data demi mengatasi kerentanan infrastruktur mereka,” katanya. Juga mengawasi dan mengelola keamanan dan kepatuhan vendor pihak ketiga dengan lebih baik. Karena bisa jadi kebocoran karena kesalahan pihak ketiga.
Pemerintah tampaknya sadar bahwa keamanan data banyak perusahaan di Tanah Air lemah. Menteri Kominfo Johnny Plate pun mendorong para penyelenggara sistem elektronik (PSE) memperhatikan keamanan data pengguna.
“Saya mengingatkan karena kebocoran itu setiap detik, setiap menit, setiap hari, maka tiga hal yang harus diperhatikan,” kata Johnny, Jumat (26/8/2022).
Ketiga hal itu yakni peningkatan kemampuan teknologi enkripsi, peningkatan kualitas SDM yang menjaga keamanan digital serta tata kelola keamanan siber.
UU Perlindungan Data Pribadi
Salah satu yang juga mendesak adalah kerangka acuan regulasi tentang kebocoran data. Selama ini masalah kebocoran data mengacu pada level Peraturan Pemerintah, yaitu melalui PP 71/2019 mengenai Penyelenggaraan Sistem dan Transaksi Elektronik yang merupakan turunan dari UU ITE. PP ini masih bertumpu pada sistem dan transaksi elektronik. Padahal, persoalan data pribadi dalam konteks ekonomi digital tidak hanya sebatas kebutuhan transaksi.
Karena itu banyak kalangan mendesak segera lahirnya sebuah undang-undang yang mengatur mengenai perlindungan data pribadi beserta kewajiban dan sanksi para pelakunya. Ini perlu sebagai upaya untuk menutup peluang terjadinya kebocoran data bahkan diperjual belikan di situs hacker.
Saat ini, sudah ada Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi (PDP) yang diiniasi sejak 2016 lalu, namun hingga kini belum juga disahkan. Tak hanya RUU PDP, pemerintah juga sudah seharusnya membentuk Komisi Perlindungan Data Pribadi yang memiliki tugas untuk melakukan pembinaan dan pengawasan platform digital dalam penggunaan dan perlindungan data pribadi penggunanya.
Sambil menunggu perlindungan data yang lebih baik, Anda bisa meminimalkan potensi penyalahgunaan data pribadi dengan cara mudah. Yakni dengan tidak memberikan data pribadi kepada lembaga atau siapun yang tidak perlu. Proteksi bisa berawal dari diri sendiri.
