Ratusan Juta Data Dukcapil Kemendagri Diduga Bocor di Dark Web, Pakar Siber: 'Ini Peretasan yang Paling Parah'

JAKARTA - Pakar keamanan siber, Alfons Tanujaya, menyebut pembobolan 337 juta data yang diduga dikelola Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri tergolong "sangat parah" karena di dalamnya memuat nama lengkap ibu kandung yang biasa digunakan untuk memverifikasi keamanan perbankan.

Untuk itu, Kemendagri dan Badan Siber dan Sandi Negara (BSSN) didesak melakukan investigasi bersama untuk mencari tahu penyebab kebocoran.

Jika ada unsur kelalaian atau keterlibatan perseorangan yang mengakibatkan kegagalan perlindungan data maka bisa diseret ke ranah pidana sesuai Undang-Undang Perlindungan Data Pribadi, kata peneliti Elsam, Wahyudi Djafar.

Merespons persoalan ini, Dirjen Dukcapil Kemendagri, Teguh Setyabudi, mengatakan "sejauh ini tidak ditemukan jejak kebocoran data" pada Sistem Informasi Administrasi Kependudukan (SIAK) Terpusat online yang dijalankan oleh Ditjen Dukcapil Kemendagri.

Kasus pembobolan data pribadi warga Indonesia oleh peretas kembali terjadi. 

Kalau sebelumnya hacker dengan nama anonim "RRR" ini menjual 34 juta data paspor dan 1,3 triliun data pendaftaran Kartu SIM telepon, kini peretas tersebut menawarkan 337 juta data yang diduga dari Dukcapil Kemendagri di forum online hacker BreachForums.

Pakar keamanan siber, Alfons Tanujaya, mengatakan kalau merujuk dari jumlahnya yang melampui jumlah penduduk Indonesia, ada kemungkinan data tersebut memuat informasi warga yang sudah meninggal.

Jutaan data inti warga Indonesia ini, sambung Alfons, diduga "dikopi mentah-mentah" dari server dukcapil.kemendagri.go.id lantaran memuat 69 kolom yang 28 kolom di antaranya mengandung informasi pribadi penting.

Dari satu juta data sampel yang bisa diakses, informasi-informasi yang dibocorkan berisi nomor induk kependudukan (NIK), nama lengkap, tanggal lahir, nomor akta lahir, golongan darah, agama, dan status pernikahan.

Kemudian nomor akta nikah, nomor akta cerai, tanggal nikah, tanggal cerai, dan yang cukup memprihatinkan - kata Alfons - adalah kelainan fisik.

Ada pula data pendidikan akhir, jenis pekerjaan, NIK ayah, NIK ibu, nama lengkap ayah, dan nama lengkap ibu.

Informasi lainnya adalah nama petugas yang memasukkan data tersebut. 

Tapi yang menjadi perhatian Alfons dan tak seharusnya bobol adalah data soal nama lengkap ibu kandung. Sebab informasi itu menjadi sandi pertanyaan keamanan yang digunakan perbankan untuk memverifikasi data pemegang rekening.

Dengan mengantongi informasi soal nama ibu kandung, maka siapapun bisa dengan mudah mengaku-ngaku atau mewakili pemilik rekening dan menguras isi rekening pemilik yang sah.

"Sekarang bank harus hati-hati, yang bocorin siapa yang repot siapa. Bank nggak makan nangka, kena getahnya," ujar Alfons Tanujaya pada media, Senin (17/07).

Yang juga berbahaya, menurut dia, yakni ketika si pembobol sebelumnya sudah mengantongi data-data lain yang kemudian digabungkan menjadi informasi yang lengkap.

Kalau itu dilakukan maka dampaknya bakal lebih luas.

"Mereka bisa mengacaukan Indonesia karena dapat data demografinya, mereka bisa kampanye negatif kalau berbenturan dengan kepentingan mereka."

"Makanya jangan sampai data biometrik bocor, nangis itu pasti."

Mengapa bisa bobol?

Alfons Tanujaya menduga jutaan data yang ada di server Kemendagri tidak dienkripsi sesuai standar yang baik.

Kalau itu dilakukan, maka ratusan juta data tersebut tidak bisa dibaca meskipun berhasil dibobol.

Sebab yang memiliki kunci enkripsilah yang bisa membaca data.

"Kalau ada data base dienkripsi, yang bisa buka itu cuma server data base yang simpan data. Kalau ada orang masuk, kopi data, enggak bisa buka atau baca karena dienkripsi."

"Di kementerian-kementerian hal itu kurang jalan."

"Misal Tokopedia pernah kebobolan dan mereka belajar banget, sekarang datanya dienkripsi kalaupun bocor data yang tidak terlalu penting."

Untuk menelusuri kasus dugaan pencurian data di Dukcapil Kemendagri, Alfons mengatakan caranya bisa dengan mendeteksi nomor induk pegawai (NIP) petugas yang menyimpan data tersebut.

Pakar keamanan siber, Pratama Persadha, juga sependapat.

Berdasarkan investigasi yang dilakukan lembaganya CISSReC, ratusan juta data tersebut berasal dari disdukcapil.

"Dari hasil investigasi singkat CISSReC, beberapa nama yang terancantum dalam field "NAMA_PET_ENTRI" adalah karyawan dari Disdukcapil," imbuh Pratama Persadha.

Warganet: 'Negara kok amatir?'

Kebocoran data yang diduga memuat seluruh warga Indonesia ini pertama kali diungkap lewat unggahan akun @DailyDarkWeb di Twitter.

Unggahan itu ditanggapi warganet dengan umpatan seperti yang diungkapkan akun @jankerzone yang berkata, "Nantinya Indonesia akan pada titik data-datanya tidak laku lagi saking gampangnya dipanen."

Kemudian akun @mharisman, "Lengkaplah sudah. Itu data KK seluruh penduduk Indonesia. Setop pakai nama ibu kandung untuk verifikasi customer perbankan. Sudah jadul sekali pertanyaan verifikasi ini, bocor pula sekarang."

Dan akun @almubarak yang mencuit, "Negara kok bisa amatir begini? Mereka bermain-main dengan data kita. Tidak dijaga dengan sepatutnya."

Meskipun masih ada pula warganet yang bertanya apa dampak sudah dirasakan masyarakat dengan kebocoran data berulang kali.

Pakar keamanan siber, Alfons Tanujaya, mengatakan salah satunya adalah penipuan yang ujungnya menguras isi rekening dengan mengirimkan unduhan berupa undangan nikah yang saat ini marak.

Dia menjelaskan para penipu itu bisa membuat "rekening bodong" untuk menampung uang hasil kejahatannya karena memiliki data kependudukan yang bocor.

"Sangat mudah membuat rekening bank bodong untuk menampung hasil kejahatan, saking banyaknya polisi kewalahan."

Dirjen Dukcapil Kemendagri, Teguh Setyabudi, mengatakan sejauh ini tidak ditemukan jejak kebocoran data pada Sistem Informasi Administrasi Kependudukan (SIAK) Terpusat online yang dijalankan oleh Ditjen Dukcapil Kemendagri.

Kendati, sambungnya, proses audit investigasi masih terus berlangsung untuk mendalami dugaan kebocoran, termasuk data base yg ada di kabupaten/kota, sekaligus mitigasi preventif untuk pencegahannya di masa yang akan datang.

Sebelumnya Teguh juga berkata, data yang ada di BreachForums jika dilihat dari format elemen datanya tidak sama dengan yang terdapat di data base kependudukan yang ada di Ditjen Dukcapil saat ini.

Pakar keamanan siber dari CISSReC, Pratama Persadha, menilai pemerintah harus lebih serius menerapkan regulasi terkait UU Perlindungan Data Pribadi.

"Dalam kasus kebocoran data, pihak-pihak yang harus bertanggung jawab adalah perusahaan sebagai pengendali atau pemroses data, serta pelaku kejahatan siber yang menyebarkan data pribadi ke ruang publik," ujarnya.

Ia kemudian menjelaskan, meskipun UU yang disahkan pada 2022 ini diberikan masa transisi selama dua tahun namun pelanggaran yang terjadi pada masa transisi sudah bisa dikenakan hukuman pidana sesuai dengan pasal 76 UU PDP.

Apa saja yang diretas hacker 'RRR'?

Lembaga riset dan keamanan siber CISSReC disebut telah beberapa kali menawarkan data Indonesia. Seperti 1,3 triliun data pendaftaran Kartu SIM telepon, 36 juta data Kendaraan Bermotor, 272 juta data Badan Penyelenggara Jaminan Sosial (BPJS), dua juta data foto dari BPJS.

Kemudian 34 juta data paspor Indonesia, 6,9 juta data visa, 186 juta data dari Komisi Pemilihan Umum (KPU), satu triliun data dari Kemendesa, 337 juta data dari Disdukcapil Kemendagri, dan yang terbaru adalah 6,8 juta data DPT Provinsi DKI Jakarta.

Selain data dari Indonesia, peretas RRR disebut juga menawarkan beberapa data yang didapatkan dari negara lain.

Semisal 15 juta data korporasi Jepang, 108 juta data Iran Telecom dan 2,8 Juta data penduduk Lebanon.

Ada juga 28,6 juta data pekerja Taiwan, 23,5 juta data kependudukan Taiwan, 30 juta data pribadi penduduk Thailand, dan 789 juta data pemilih India.

Lalu 10 juta data dari operator telekomunikasi Yordania, 23 juta data Facebook Jepang serta 51 juta data Facebook Vietnam. (*)