Sebanyak 204 Juta Data Pemilih Diduga Dicuri dari Situs KPU, 'yang Bisa Pengaruhi Pemilu 2024'

JAKARTA - Sebanyak 204 juta data pemilih Pemilu 2024 diduga telah dicuri dari situs Komisi Pemilihan Umum (KPU).

Pakar keamanan siber mengatakan timnya telah mencocokkan sejumlah sampel data yang dijual di situs BreachForums, dan mengeklaim hasilnya mirip.

Peneliti dari Lembaga Studi dan Advokasi Masyarakat (ELSAM) menilai kebocoran data ini bisa menimbulkan penyalahgunaan data seperti disinformasi dan berpotensi digunakan untuk kampanye politik secara personal.

Pencurian data dari server KPU ini bukan pertama kali terjadi, sebab sebelumnya terdapat klaim dari sejumlah akun anonim, salah satunya Bjork, yang menjual data pribadi dari server KPU.

Pencurian data terbaru ini mencuatkan tanya terkait kepentingan-kepentingan tertentu dalam pesta demokrasi dua bulan mendatang: Mengapa kebocoran data KPU ini berbahaya? Mengapa data KPU selalu diklaim bocor? 

KPU diduga kebobolan lagi. Sebanyak 204 juta data pemilih disebut bocor dan dijual peretas.

Akun anonim “Jimbo” mengeklaim telah meretas situs kpu.go.id dan berhasil mendapatkan data pemilih dari situs tersebut. Ia mengeklaim menguasai 204 juta data pemilih dan membagikan 500.000 sampel di situs BreachForums – situs yang biasa digunakan peretas menjual data curian.

Data ini berisi keterangan nama lengkap, Nomor Induk Kependudukan (NIK), Nomor Kartu Keluarga, Nomor KTP (berisi nomor paspor untuk pemilih di luar negeri), jenis kelamin, tanggal lahir, status pernikahan, alamat lengkap, serta kodefikasi Tempat Pemungutan Suara (TPS).

Ketua Lembaga Keamanan Siber Communication and Information System Security Research (CISSReC), Pratama Persadha, mengatakan timnya telah mencoba melakukan verifikasi data sampel yang diberikan secara random melalui website cekdpt.

"Data yang dikeluarkan oleh website cekdpt, sama dengan data sampel yang dibagikan oleh peretas Jimbo, termasuk nomor TPS di mana pemilih terdaftar,” kata Pratama dalam keterangan persnya.

Jimbo menawarkan data ini kepada pembeli hampir setara Rp1,2 miliar.

Pratama mengatakan kemungkinan peretas berhasil membobol situs KPU sebagai admin yang memperoleh akses masuk dari domain sidalih.kpu.go.id.

“Menggunakan metode phising, social engineering atau melalui malware, di mana dengan memiliki akses dari salah satu pengguna tersebut, Jimbo mengunduh data pemilih serta beberapa data lainnya,” katanya.

Pakar keamanan siber ini memperingatkan, jika peretas benar-benar membobol sebagai admin, hal ini “bisa sangat berbahaya pada pesta demokrasi pemilu”. Musababnya, peran admin dapat dipergunakan untuk mengubah hasil rekapitulasi penghitungan suara.

“Tentunya akan mencederai pesta demokrasi bahkan bisa menimbulkan kericuhan pada skala nasional,” kata Pratama.

Peneliti dari Lembaga Studi dan Advokasi Masyarakat (ELSAM), Annisa N Hayati menilai kebocoran data ini bisa menimbulkan penyalahgunaan data seperti disinformasi.

"Semakin banyak data yang dikumpulkan tentang pemilih, maka semakin meyakinkan panggilan palsu, pesan teks, atau email tentang individu dan koneksi sosial mereka," kata Annisa.

Selain itu, data pemilih ini juga berpotensi digunakan untuk kampanye politik secara personal.

"Ketiga pencatutan, pernah terjadi pada 2022 lalu, saat Bawaslu menemukan 494 NIK yang dicatut oleh partai politik ke dalam Sistem Informasi Partai Politik (Sipol) untuk pendaftaran peserta pemilu.

"Kebocoran data pemilu dapat mengakibatkan hak seseorang dalam mengungkapkan ekspresi serta pilihan politiknya terlanggar," jelas Annisa.

Dampak dari dugaan kebocoran data dari situs KPU ini, lanjutnya, juga bisa menurunkan tingkat kepercayaan publik pada penyelenggara pemilu, "sehingga dapat berdampak ke legitimasi pemilu yang ikut berkurang".

Dari insiden ini, ELSAM mendesak KPU sebagai pengendali data harus mampu melaksanakan prinsip integritas dan kerahasiaan secara ketat.

"KPU harus segera memastikan implementasi standar dan prinsip pelindungan data pribadi, sebagaimana diatur UU PDP (Undang Undang Perlindungan Data Pribadi)," kata Annisa.

Selain itu, ELSAM juga menyoroti tumpang tindih regulasi yang diduga dapat membuka ruang bagi pihak Partai Politik mengakses data pemilih di situs KPU.

"Meskipun menurut Keputusan KPU No. 81/2022 data-data itu hanya dapat diakses oleh KPU, KPU Provinsi, dan KPU Kabupaten/Kota, akan tetapi, sebagai bagian dari transparansi dan akuntabilitas Pemilu, UU Pemilu membuka tafsir bahwa Partai Politik juga dapat mengakses secara utuh data pemilih," tambah Sasha.

KPU mengakui data daftar pemilih tetap (DPT) Pemilu 2024 tidak hanya berada di data center KPU.

"Banyak pihak yang memiliki data DPT tersebut, karena memang UU Pemilu mengamanatkan kepada KPU untuk menyampaikan DPT softcopy kepada partai politik peserta Pemilu 2024 dan juga Bawaslu," kata Ketua KPU, Hasyim Asy'ari seperti dikutip dari Kompas.com. 

Ia mengatakan dibutuhkan penelusuran lebih lanjut untuk memastikan dugaan peretasan tersebut dan apakah peretasan itu dilakukan terhadap data milik KPU.

"Tim KPU dan Gugus Tugas [BSSN, Cybercrime Polri, BIN dan Kemenkominfo] sedang bekerja menelusuri kebenaran dugaan," tambah Hasyim.

Dalam keterangan resminya, KPU telah melakukan pemeriksaan terhadap sistem informasi yang disampaikan oleh peretas, yaitu Sistem Informasi Data Pemilih (Sidalih). KPU telah menonaktifkan akun-akun pengguna Sidalih sebagai upaya penanganan peretasan tersebut lebih lanjut.

Berdasarkan hasil pengecekan, saat ini beberapa analisis sedang dijalankan seperti analisis log akses, analisis manajemen pengguna, dan analisis log lainnya. 

Analisis ini diambil dari aplikasi maupun server yang digunakan untuk mengidentifikasi pelaku, jika benar melakukan peretasan terhadap Sistem Informasi Data Pemilih.

Menteri Koordinator bidang Politik Hukum dan Keamanan, Mahfud MD mengatakan dugaan peretasan ini "sangat mengagetkan dan memprihatikan".

"Saya berharap agar KPU, harus membuat sistem kontrol yang bisa menghalangi peretasan," kata Mahfud MD yang saat ini ikut kontestasi pilpres 2024.

Pada 2020 silam, data 2,3 juta warga dan pemilih Indonesia diduga pernah dibocorkan. Peretas menggunakan akun anonim sebagai "Underthebreach" melalui forum peretas.

Dua tahun kemudian, atau 2022, giliran akun "Bjorka" yang mengklaim menguasai 105 juta data penduduk Indonesia hasil peretasan di situs KPU. Ia menjual data ini sekitar Rp77 juta di BreachForums.

Menurut peneliti dari ELSAM, Annisa N. Hayati, berulangnya kasus dugaan kebocoran data KPU karena "tidak ada proses investigasi yang tuntas".

"Sekarang biasanya, setiap ada insiden kebocoran jawabannya selalu penyangkalan," jelas Annisa.

Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika (Kominfo), Semuel A Pangerapan, menyatakan saat ini pihaknya tengah melakukan pengumpulan data dan informasi untuk penanganan dugaan kebocoran data terbaru.

Semuel mengatakan, pada Selasa (28/11), Kominfo telah mengirimkan surat permintaan klarifikasi kepada KPU.

"Secara bersamaan, kami juga melakukan pengumpulan data dan informasi yang diperlukan untuk mendukung upaya penanganan dugaan kebocoran data tersebut,” jelasnya di Kantor Kementerian Kominfo, Jakarta Pusat, Rabu (29/11).

Dia mengingatkan larangan bagi setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik dengan cara apa pun dengan tujuan untuk memperoleh informasi elektronik dan/atau Dokumen Elektronik,” ungkapnya.

Bahkan, sesuai Pasal 65 Ayat (2) Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, setiap orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya.

“Kominfo menghimbau seluruh Penyelenggara Sistem Elektronik (PSE) baik lingkup publik maupun privat untuk meningkatkan keandalan sistem keamanan siber dan perlindungan data pribadi dalam setiap sistem elektronik yang mereka miliki sesuai ketentuan perundang-undangan,” tegas Semuel. (*)