JAKARTA, PROKALTENG.CO – Isi data 270-an juta penduduk yang bocor
dan dijual secara online melalui forum hacker Raid Forums sejak 12 Mei 2021,
cukup mengejutkan. Pasalnya, data-data pribadi penduduk yang bocor tersebut
diduga cukup detil.
Kebocoran data penduduk itu
diunggah pemlik akun Twitter Kotz. Bahkan ia memberikan sample file sebesar 240
MB yang berisi satu juta data pribadi masyarakat Indonesia.
Akun Kotz juga mengklaim telah
menyimpan lebih 270 juta data penduduk lainnya. Data penduduk itu dijual dan
dibanderol seharga USD6 ribu. Diduga kuat data yang bocor adalah data dari BPJS
Kesehatan di-upload di internet.
Praktisi keamanan siber, Pratama
Persadha menyatakan, untuk mememastikan dugaan itu, dibutuhkan pemeriksaan
digital forensik.
Akan tetapi, Pratama mengungkap,
berdasarkan data sample 240 MB tersebut memang benar berisi sejumlah data pribadi.
Di antaranya nomor identitas
kependudukan (NIK), nomor HP, alamat, alamat email. Kemudian Nomor Pokok Wajib
Pajak (NPWP), tempat tanggal lahir, sampai jenis kelamin. “Lalu jumlah
tanggungan dan data pribadi lainnya yang bahkan si penyebar data mengklaim ada
20 juta data yang berisi foto,†ungkap dia, Jumat (21/5/2021).
Chairman lembaga riset siber
Communication & Information System Security Research Center (CISSReC) ini
menjelaskan dalam file yang diunduh tersebut ada data NOKA atau nomor kartu
BPJS kesehatan.
“Menurut klaim pelaku, dirinya
mempunyai data file sebanyak 272.788.202 juta penduduk,†jelasnya.
Akan tetapi, ia menilai aneh jika
akun Kotz mengklaim memiliki lebih dari 270 juta data penduduk lainnya. Sebab,
anggota BPJS Kesehatan sendiri di akhir 2020 berjumlah sekitar 222 juta orang.
“Dari nomor BPJS Kesehatan yang
ada di file bila dicek online ternyata datanya benar sama dengan nama yang ada
di file. Jadi, memang kemungkinan besar data tersebut berasal dari BPJS
Kesehatan,†kata dia.
Ancaman Mengerikan
Dari data yang bocor itu, menurut
Pratama, dapat digunakan pelaku kejahatan dengan melakukan phishing yang
ditargetkan atau jenis serangan rekayasa sosial (social engineering).
Kendati sekalipun dalam file
dimaksud tidak ditemukan data yang sangat sensitif seperti detil kartu kredit. “Namun
dengan beberapa data pribadi yang ada, maka bagi pelaku penjahat dunia maya
sudah cukup untuk menyebabkan kerusakan dan ancaman nyata,†tegasnya.
Berbekal data tersebut, bebernya,
pelaku kejahatan bisa menggabungkan informasi yang ditemukan dalam file CSV
yang bocor dengan pelanggaran data lain. Itu dilakukan untuk membuat profil
terperinci dari calon korban mereka seperti data dari kebocoran Tokopedia,
Bhinneka, Bukalapak dan lainnya.
Dengan informasi seperti itu,
sambungnya, pelaku kejahatan dapat melakukan serangan phising dan social
engineering yang jauh lebih meyakinkan bagi para korbannya. “Yang jelas tidak
ada sistem yang 100 persen aman dari ancaman peretasan maupun bentuk serangan
siber lainnya,†ujarnya.