Liputan6.com, Jakarta - Menteri Kesehatan Republik Indonesia Budi Gunadi Sadikin memastikan kebocoran 3,2 miliar data PeduliLindungi oleh hacker Bjorka tidaklah benar. Artinya, klaim Bjorka yang punya 3,2 miliar data PeduliLindungi dipastikan itu bukan data dari PeduliLindungi.
"Yang (kebocoran data) Bjorka itu kami sudah cek, datanya bukan data PeduliLindungi begitu ya, jadi kita enggak yakin itu datanya kita," tegasnya saat ditemui Health Liputan6.com usai konferensi pers 'Indonesia Memanggil Dokter Spesialis WNI Lulusan Luar Negeri dalam Program Adaptasi Pertama Tahun 2022' di Gedung Kementerian Kesehatan Jakarta, Jumat (18/11/2022).
Advertisement
Sebelumnya, Bjorka kembali menghebohkan publik Tanah Air. Ia mengklaim memiliki 3,2 miliar data dari aplikasi PeduliLindungi. Hal itu diungkapnya melalui situs breached.to pada Selasa, 15 November 2022.
Dalam keterangannya, Bjorka menyebut bahwa PeduliLindungi adalah aplikasi pelacakan kontak resmi COVID-19 yang digunakan untuk melacak kontak secara digital di Indonesia.
PeduliLindungi dibuat oleh Kementerian Komunikasi dan Informatika bekerja sama dengan Komite Penanganan Corona Virus Disease 2019 dan Pemulihan Ekonomi Nasional, Kementerian Kesehatan, Kementerian BUMN, dan Telkom Indonesia.
Aplikasi ini awalnya dikenal sebagai TraceTogether tetapi diganti karena Singapura menggunakan aplikasi yang bernama sama, tulis Bjorka.
Sebagai tindak lanjut, ditegaskan Budi Gunadi, Kementerian Kesehatan (Kemenkes) sudah mengecek soal klaim kebocoran data PeduliLindungi yang disebut-sebut Bjorka. Hasilnya, tidak adanya temuan data PeduliLindungi yang bocor.
"Kami cek kan enggak ada. Ya, kami tidak menemukan data trace (jejak data) yang diambil, data yang dikeluarkan itu bukan datanya kita," pungkasnya.
Tujuan untuk Popularitas
Lebih lanjut, Menkes Budi Gunadi Sadikin berpendapat klaim kebocoran 3,2 miliar data PeduliLindungi oleh hacker Bjorka hanya untuk popularitas saja. Terlebih, setelah Badan Siber dan Sandi Negara (BSSN) terjun mengecek, tidak ditemukan adanya kebocoran data.
"Sarannya saya, saya sudah minta BSSN juga segera cek. Kita tidak menemukan adanya trace (jejak data bocor) itu," ucapnya.
"Jadi itu yang saya rasa, apakah ini untuk popularitas saja."
Berdasarkan informasi file yang diunggah dari situs breached.to, data PeduliLindungi yang ada sebesar 48 GB dalam kondisi di-compressed dan 157 GB saat uncompressed, dengan total 3.250.144.777 data berformat CSV.
Bjorka mengklaim, data yang tersedia antara lain nama, e-mail, Nomor Induk Kependudukan (NIK), nomor telepon, tanggal lahir, Device ID, status COVID-19, riwayat check-in, riwayat pelacakan kontak hingga vaksinasi.
Tak tanggung-tanggung, Bjorka juga mengklaim, data yang ada di sampel juga termasuk data pribadi milik Menteri Komunikasi dan Informatika Johnny G. Plate, Menko Marves Luhut Binsar Pandjaitan, dan host Deddy Corbuzier.
Data-data pribadi ini sendiri dijual dengan harga USD100.000 dan hanya menerima pembayaran berupa Bitcoin (BTC).
Advertisement
Pengamanan Data Tak Maksimal
Pakar keamanan siber Pratama Persadha tak menampik data PeduliLindungi yang dibocorkan Bjorka mencakup data pengguna, data vaksinasi, riwayat pelacakan, termasuk riwayat check-in pengguna aplikasi. Hal itu diketahui dari sampel data yang diberikan.
"Saat dicek, apakah data ini valid menggunakan aplikasi pengecek nomor KTP, data ini benar valid terdata di data kependudukan," jelas Pratama dalam keterangan resmi yang diterima, Selasa (15/11/2022).
"Dan, jika diperiksa lebih lanjut pada sampel datanya, ada banyak koordinat lokasi yang bertepatan dengan fitur check-in PeduliLindungi di tempat-tempat publik."
Kendati demikian, Pratama menuturkan, sumber datanya hingga saat ini belum jelas. Hanya mengenai keaslian atau tidaknya data ini, instansi yang terlibat dalam pembuatan aplikasi PeduliLindungi, seperti Kementerian Kominfo, Kementerian BUMN, Kementerian Kesehatan, dan Telkom yang bisa memastikan.
"Dan juga sangat disayangkan data yang sangat sensitif ini tidak maksimal pengamanannya, misalnya dengan melakukan enkripsi datanya," kata Chairman Lembaga Riset Siber CISSReC (Communication & Information System Security Research Center ini.
"Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana."
Kegagalan Perlindungan Data Pribadi
Menurut Pratama Persadha, salah satu yang bisa dilakukan adalah mengecek terlebih dulu sistem informasi dari PeduliLindungi yang datanya dibocorkan oleh hacker Bjorka. Apabila ditemukan 'lubang' keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data.
Sementara apabila setelah dilakukan pengecekan menyeluruh dan digital forensic tidak ditemukan celah keamanan maupun jejak digital peretasan, ada kemungkinan kebocoran data karena insider atau orang dalam.
"Hal ini memang bukan barang baru, karena dalam kebocoran data ada 3 penyebab utama, yaitu peretasan, karena human eror atau tindakan orang dalam, serta terakhir karena adanya kesalahan dalam sistem informasi tersebut," jelas Pratama.
Dengan kata lain, setiap kebocoran data tidak selalu disebabkan oleh serangan siber para peretas. Namun, apabila memang terjadi serangan oleh peretas, hal itu tidak bisa langsung diidentifikasi para penyerangnya, karena tergantung dengan kemampuan si peretas.
Oleh karena itu, Pratama menuturkan, apabila data PeduliLindungi benar bocro, berlaku Pasal 46 UU PDP ayat 1 dan 2 yang berisi dalam hal terjadi kegagalan perlindungan data pribadi, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3x24 jam.
Baca Juga
Advertisement