TEMPO.CO, Jakarta - Masyarakat belakangan dihebohkan dengan dugaan kebocoran sebanyak 1,3 juta data pribadi pengguna electronic Health Alert Card (eHAC). Persoalan tersebut menjadi perhatian banyak orang karena aplikasi tersebut selama ini digunakan untuk kepentingan pelacakan Covid-19 dalam pemenuhan persyaratan penerbangan.
Temuan kebocoran data pengguna eHAC pertama kali ditemukan oleh peneliti vpnMentor. Dilansir dari vpnmentor.com, 1,3 juta data pengguna eHAC pertama kali ditemukan di sebuah server yang bisa diakses oleh semua orang.
Temuan tersebut membuat data pengguna eHAC menjadi sangat rentan untuk disalahgunakan. Adapun beberapa data yang bocor, antara lain nama, alamat rumah, nomor ID, rumah sakit tempat melakukan tes Covid-19, dan sebagainya.
Namun demikian, Kepala Pusat Data dan Informasi Kementerian Kesehatan Anas Mas'ruf menegaskan data masyarakat yang ada di sistem Indonesia Health Alert Card (eHAC), tidak bocor.
"Kemenkes memastikan bahwa data masyarakat yang ada dalam eHAC tidak bocor dan dalam perlindungan. Data masyarakat yang ada di dalam eHAC tidak mengalir ke platform mitra," kata Anas dalam konferensi pers daring, Rabu, 1 September 2021.
Berikut beberapa insiden kebocoran data pribadi di Indonesia
1. Kebocoran data BPJS Kesehatan
Pada Mei 2021, data sejumlah peserta Badan Penyelenggara Jaminan Sosial (BPJS) dijual di Raid Forums seharga 0,15 Bitcoin .
Data tersebut dijual oleh pengguna forum dengan nama id 'Kotz'. Ia mengatakan data tersebut juga termasuk data penduduk yang sudah meninggal. "Ada satu juta contoh data gratis untuk diuji. Totalnya 279 juta, Sebanyak 20 juta memiliki foto personal," kata dia.
Pengamat keamanan siber dari Vaksincom Alfons Tanujaya turut mengecek kabar bocornya data BPJS Kesehatan tersebut. "Kelihatannya benar," kata dia kepada Tempo, Kamis, 20 Mei 2021.
Tak lama setelah itu, Direktur Utama BPJS Kesehatan Ali Ghufron Mukti mengakui sebagian data yang diperjualbelikan di internet mirip dengan yang mereka punya. Tapi BPJS belum bisa memastikan apakah kebocoran tersebut memang berasal dari mereka atau bukan, karena penelusuran digital forensic masih berjalan.
Proses penelusuran ini, kata BPJS Kesehatan, sangat kompleks karena melibatkan data dalam jumlah yang besar. "Jadi perlu waktu," kata dia.
2. Kebocoran data Cermati dan Lazada
Kasus kebocoran data dari dua perusahaan itu beredar di situs Raidforums pada akhir tahun 2020. Di dalamnya, ada data yang diperjualbelikan dari cermati.com sebanyak 2,9 juta pengguna yang diambil dari kegiatan 17 perusahaan, sebagian besar kegiatan finansial.
Sedangkan, Lazada mengalami kebocoran sebanyak 1,1 juta data. Adapun, pihak Lazada mengatakan bahwa insiden terkait keamanan data di Singapura itu, melibatkan database khusus Redmart yang di-hosting oleh penyedia layanan pihak ketiga.
CEO dan Co-Founder Cermati.com, Andhy Koesnandar kala itu menjelaskan bahwa perseroan telah mendeteksi adanya akses tidak sah ke dalam platform Cermati.com yang mengandung data dari sebagian pengguna. "Perseroan mengambil lima langkah untuk memastikan data pelanggan aman. Pertama, Cermati.com melakukan investigasi dan menghapus akses yang tidak sah untuk memastikan data pengguna tetap terjaga," kata Andhy kepada Bisnis.com, 2 November 2020.
3. Penjualan data nasabah BRI Life
Sempat ramai beredar di media sosial ihwal dugaan penjualan data dua juta nasabah BRI Life dengan harga $7.000 atau sekitar Rp 101,6 juta. Unggahan tersebut dibeberkan akun Twitter @HRock.
Terdapat 463.000 dokumen yang diperjualbelikan. Dokumen yang tertera dalam tangkapan layar berupa foto KTP elektronik, nomor rekening, nomor wajib pajak, akte kelahiran, dan rekam medis nasabah BRI Life.
Kala itu, Kepolisian menyatakan siap mengusut kasus kebocoran data tersebut. Menurut Kepala Biro Penerangan Masyarakat Divisi Humas Mabes Polri Brigadir Jenderal Rusdi Hartono penindakan tersebut membutuhkan aduan dari pihak yang dirugikan.
"Kami siap untuk menindaklanjuti kasus dugaan tindak pidana kebocoran data itu, selama ada laporan resmi ke kepolisian," kata Rusdi saat dikonfirmasi pada Rabu, 28 Juli 2021.
4. Kebocoran data Tokopedia
Pada Mei 2020 ramai jutaan akun pengguna e-commerce Tokopedia diduga telah bocor. Bahkan, pemilik akun twitter @underthebreach menyebut aktor peretas telah menjual database Tokopedia sejumlah 91 juta akun seharga US$ 5.000 di darkweb. Adapun pihaknya mengklaim aksi peretasan telah dilakukan sejak Maret 2020.
Kala itu, VP of Corporate Communications Tokopedia Nuraini Razak menegaskan, untuk data pengguna tersebut bukanlah upaya pencurian data dan informasi password baru, karena data perseroan masih tetap aman terlindungi di balik enkripsi.
"Kami telah melaporkan hal ini ke pihak kepolisian dan juga mengingatkan seluruh pihak untuk menghapus segala informasi yang memfasilitasi akses ke data yang diperoleh melalui cara yang melanggar hukum," kata Nuraini melalui pernyataannya kepada Tempo, Ahad malam, 5 Juli 2020.
5. Kebocoran data Komisi Pemilihan Umum
Peretas mengklaim telah membobol 2,3 juta data warga Indonesia dari Komisi Pemilihan Umum (KPU). Informasi itu datang dari akun @underthebreach, Kamis malam 21 Mei 2020.
"Aktor (peretas) membocorkan informasi 2.300.000 warga Indonesia. Data termasuk nama, alamat, nomor ID, tanggal lahir, dan lainnya," cuit @underthebreach.
Akun itu menyebutkan dugaan data yang diretas berasal dari data 2013 hingga kini. Tidak hanya itu, peretas juga mengklaim akan membocorkan 200 juta data lainnya.
Dalam cuitannya, @underthebreach mengunggah foto tangkapan layar di sebuah forum peretas yang memperlihatkan folder data daftar pemilih tetap untuk pemilihan legislatif 2014 asal berbagai kecamatan di Provinsi DIY. Dalam foto tangkapan layar lainnya tampak data berisi identitas, seperti nama, alamat, NIK, dan NKK.
Kala itu, Komisioner Komisi Pemilihan Umum Viryan Aziz mengatakan data daftar pemilih tetap (DPT) yang bocor di media sosial bukan dari hasil peretasan situs KPU.
Ia menduga data pribadi yang bocor tersebut berasal dari pihak ketiga. Ia mengatakan KPU memang wajib menyerahkannya kepada mereka sesuai dengan ketentuan Undang-Undang Nomor 8 tahun 2012 Pasal 38 Ayat 5.
