Liputan6.com, Jakarta - Hacker Bjorka tiba-tiba kembali muncul dan membuat geger warganet. Ia mengklaim berhasil membobol dan menjual 34 juta data paspor orang Indonesia di dark web seharga USD 10.000 atau sekitar Rp 150 juta.
Adapun rincian data paspor yang bocor antara lain nama pemilik paspor, nomor paspor, tanggal berlaku paspor, jenis kelamin, hingga tanggal terbit paspor. "34 juta data paspor Indonesia bocor dan dijual di dark web. Harga cuma $10k. Data termasuk nomor paspor, nama lengkap, tanggal lahir, jenis kelamin, alamat, nomor telepon, email, foto wajah dan tanda tangan," tulis pengamat keamanan siber Teguh Aprianto di Twitter pada Rabu (5/7/2023).
Advertisement
Teguh, orang pertama yang menginformasikan kebocoran data paspor itu menjelaskan, ukuran file versi compressed dan uncompressed yang dibobol oleh Bjorka, masing-masing sebesar 4GB dengan total file sebanyak 34.900.867.
Terkait dugaan kebocoran data paspor Indonesia ini Direktur Jenderal (Dirjen) Imigrasi RI, Kemenkumham Silmy Karim mengaku pihaknya langsung melakukan penyelidikan. "Sedang diselidiki kebenaran bocornya,” ujar Dirjen Imigrasi Silmy Karim kepada Liputan6.com lewat pesan singkat.
Silmy memaparkan, pusat data imigrasi saat ini memakai Pusat Data Nasional (PDN) Kementerian Kominfo. Pihaknya pun bersama Badan Siber dan Sandi Negara (BSSN) dan Kominfo sedang selidiki hal tersebut.
"Iya, kami sedang menyelidiki (dugaan kebocoran data paspor) dengan BSSN dan Kominfo," ucapnya menegaskan.
Sementara, Direktur Jenderal Aplikasi Informatika Kementerian Kominfo Semuel A. Pangerapan menuturkan pihaknya masih melakukan penelusuran atas dugaan kebocoran data pribadi puluhan juta penduduk yang dikaitkan dengan data paspor tersebut.
"Tim masih bekerja dan sejauh ini belum dapat menyimpulkan telah terjadi kebocoran data pribadi dalam jumlah masif seperti yang diduga," ujar Semuel.
Menurut pria yang akrab disapa Semmy ini, kesimpulan di atas diambil setelah dilakukan sejumlah tahap pemeriksaan secara hati-hati terhadap data yang beredar.
"Kementerian Kominfo juga turut melakukan koordinasi dengan pihak-pihak terkait sesuai ketentuan berlaku, yakni BSSN dan Direktorat Jenderal Imigrasi, Kementerian Hukum dan HAM," ucap Semuel menambahkan.
Nantinya, kata Semmy, hasil temuan penyedelidikan dari dugaan kebocoran data paspor Indonesia, akan dirilis setelah pihaknya mendapatkan informasi lebih detail.
Jutaan Data Paspor yang Bocor Kemungkinan Valid
Menanggapi dugaan kebocoran data 34 juta paspor yang dijual Bjorka di dark web, Pakar Keamanan Siber Alfons Tanujaya menilai sampel data paspor yang bocor kemungkinan valid. "Kemungkinan valid, karena ada NIKIM (National Identiti Kartu Identitas Masyarakat) yang hanya dimiliki (Ditjen) Imigrasi," ungkap Alfons.
Ia berpendapat, ada kemungkinan data milik Ditjen Imigrasi ditembus oleh hacker. Pun demikian, menurut Alfons, data yang bocor masih terbatas.
Istilah terbatas yang dimaksud Alfons adalah dari sampel data hanya memuat nomor paspor, nama lengkap, dan tanggal lahir.
"Masih agak terbatas bocornya dan kualitas datanya kurang menarik bagi kriminal, dibandingkan data-data yang bocor sebelumnya," ucap Alfons.
Ia menambahkan, rangkaian jenis data yang terpengaruh itu juga masih harus dipastikan lagi oleh pihak Ditjen Imigrasi untuk validasi. "Harus dipastikan lagi oleh pihak imigrasi apakah data yang bocor memang sesuai nomor NIKIM, paspor, dan nama pemegang paspornya."
Meski jenis data yang bocor dari 34 juta paspor orang Indonesia ini terbatas, pendiri Vaksincom ini mengingatkan bahwa data tetap bisa dipakai untuk mengidentifikasi si pemilik data.
"Bukan berarti (data bocor) tidak apa-apa, tetapi data ini tetap bisa dipakai untuk mengidentifikasi pemilik data," Alfons menjelaskan.
Ia mengakui, data yang paling signifikan dari kebocoran data Ditjen Imigrasi ini adalah data NIKIM. Sementara data lain tak terlalu signifikan dan sudah pernah bocor sebelumnya.
"Pemilik data lain yang bocor seperti data kependudukan, nama lengkap, NIK, dan data kependudukan lain mendapatkan tambahan data NIKIM dan nomor paspor dari kebocoran ini," ungkap Alfons.
Advertisement
Dampak dari Kebocoran Data Paspor Orang Indonesia
Selain risiko kebocoran data paspor bisa dimanfaatkan pelaku kejahatan siber untuk mengidentifikasi si pemilik data, hal ini juga bisa dimanfaatkan untuk memantau pergerakan para pemilik paspor terdeteksi.
"Bahaya kalau pergerakan orang ke mana saja terdeteksi. Itu seperti data Google Maps, ketahuan pernah ke mana saja, negara apa saja, dan kapan saja," kata Alfons.
Kondisi ini pun jadi semakin bahaya jika data paspor yang bocor adalah milik pejabat atau petinggi negara.
"Kalau pejabat negara (yang datanya bocor) lebih-lebih bahayanya. Itu data yang harus sangat dirahasiakan," tutur Alfons memberi penjelasan.
Belum lagi, menurutnya, kalau ada data wisatawan asing yang berkunjung ke Indonesia bocor (dari server Ditjen Imigrasi) karena tidak dijaga dengan baik.
"Itu bisa mencoreng nama Indonesia. Tidak ada orang yang percaya dengan Imigrasi Indonesia dalam menangani data pribadi mereka (para wisatawan asing)," kata Alfons.
Ia pun menegaskan, masalah kebocoran data 34 juta paspor Indonesia bukan hanya masalah kependudukan Indonesia, tetapi menyangkut data keimigrasiaan. "Ini bisa berdampak sangat buruk bagi pariwisata Indonesia," klaim Alfons.
Dia berharap pihak Imigrasi sadar bahwa data yang mereka kelola merupakan amanah yang perlu dijaga, bukan suatu hal yang bisa dieksploitasi. Alfons pun mengingatkan, data yang dikelola institusi apa pun perlu dijaga sebaik-baiknya, karena tiap data yang terungkap memiliki potensi bahaya bagi si pemilik data.
Mencari Sumber Kebocoran
Pakar keamanan siber Pratama Persadha juga menilai data yang dibocorkan Bjorka kali ini terbilang valid. Alasannya, salah satu baris data di file sampel yang dibagikan tersebut ada data paspor miliknya yang sudah kadaluarsa pada 2011.
"Untuk saat ini tidak dapat diketahui dengan pasti apakah data yang dibagikan tersebut memang berasal dari server Dirjen Imigrasi atau Bjorka mengambil data tersebut dari data kebocoran lainnya. Maka dari itu, perlu dilakukan audit serta forensik digital sehingga dapat dipastikan sumber datanya," tuturnya saat dihubungi Tekno Liputan6.com, Kamis (6/7/2023).
Pratama menuturkan, kebocoran data ini sangat berbahaya bagi masyarakat. Sebab, data pribadi tersebut dapat dimanfaatkan oleh orang lain untuk melakukan tindak kejahatan seperti penipuan, baik penipuan langsung pada orang yang datanya bcoro atau penipuan lain yang menggunakan data pribadi orang lain yang bocor.
"Yang lebih berbahaya lagi jika data pribadi tersebut dipergunakan untuk membuat identitas palsu yang kemudian dipergunakan untuk melakukan tindakan terorisme, sehingga pihak serta keluarga yang data pribadinya dipergunakan akan mendapat tuduhan sebagai teroris atau kelompok pendukungnya," tuturnya lebih lanjut.
Pratama juga menyorot kebocoran data ini dapat merugikan pemerintah, karena sumber kebocoran diklaim berasal dari Dirjen Imigrasi yang merupakan salah satu lembaga pemerintahan. Hal ini membuat pihak lain akan menyimpulkan keamanan siber sektor pemerintahan adalah cukup rendah.
Kondisi ini tentu saja mencoreng nama baik pemerintah di mata masyarakat Indonesia maupun di mata internasional.
Sebab, pemerintah tidak sanggup melakukan pengamanan siber untuk institusinya, yang mana banyak instansi yang memiliki kompetensi tinggi, seperti BSSN, BIN, serta Kementerian Kominfo.
Pemerintah Harus Tindak Tegas
"Melihat seringnya terjadi kebocoran data pribadi, pemerintah harus lebih serius dalam menerapkan hukum dan regulasi terkait dengan Pelindungan Data Pribadi. Dalam kasus kebocoran data, pihak-pihak yang harus bertanggung jawab adalah perusahaan sebagai pengendali atau pemroses data, serta pelaku kejahatan siber yang menyebarkan data pribadi ke ruang publik," tutur pria yang juga Chairman lembaga riset keamanan siber CISSRec ini.
Terkait pihak yang berdomisili di Indonesia, menurut Pratama, pemerintah bisa menggunakan UU PDP Pasal 57 sebagai dasar tuntutan.
Meski, hal itu belum bisa dilaksanakan saat ini, karena UU PDP baru akan aktif mulai Oktober 2024. Ditambah, belum ada lembaga atau otoritas yang bertugas menyelenggarakan perlindungan data pribadi.
"Jadi yang perlu secepatnya dilakukan oleh pemerintah adalah Presiden segera membentuk komisi PDP sesuai amanat UU PDP karena dengan melakukan pembentukan lembaga atau otoritas tersebut proses penegakan hukum serta pemberian sanksi bisa segera diterapkan," ujarnya.
Tidak hanya itu, dengan pembentukan komisi PDP ini, pihak yang terkait dengan data pribadi bisa lebih perhatian terhadap keamanan data pribadi. Jadi, kasus insiden kebocoran data pribadi dapat diselesaikan dengan baik, serta rakyat bisa terlindungi.
Perlunya Audit Forensik Digital
Lembaga pengelola data yang diduga mengalami kebocoran data bisa segera melakukan audit sistem keamanan serta forensik digital untuk dapat mengetahui dari mana sumber kebocoran berasal, sekaligus metode apa yang dipergunakan Bjorka untuk masuk ke dalam sistem lalu mengirimkan data keluar.
"Beberapa metode audit yang dapat dilakukan adalah melakukan penilaian celah kerawanan dari sistem yang dimiliki, melakukan pengecekan di perangkat IDS serta IPS untuk memeriksa apakah ada akses tidak dikenal didalam sistem," tutur Pratama menjelaskan.
Hal lain yang juga bisa dilakukan adalah melakukan audit terhadap perangkat karyawan yang memiliki akses ke core system, untuk memastikan perangkat tersebut tidak dimanfaatkan hacker mengakses masuk core system dan melakukan pencurian data.
Untuk melakukannya, Dirjen Imigrasi bisa berkolaborasi dengan BSSN, BIN serta Kominfo.
Advertisement