Imbas Dugaan Bocornya Jutaan Data Penduduk, Desak Audit Sistem IT KPU

Kasus dugaan kebocoran data penduduk kembali
terjadi. Kali ini data yang bocor diduga berasal dari data pemilih tetap (DPT)
pemilu yang dimiliki Komisi Pemilihan Umum (KPU).

Informasi dugaan jebolnya data tersebut kali
pertama dicuitkan akun Twitter @underthebreach pada Kamis malam (21/5). Akun
itu mengungkapkan, pelaku berhasil membocorkan identitas 2,3 juta warga
Indonesia. Mulai nama, alamat, nomor identitas, hingga tanggal lahir. ”Aktor
mengklaim akan membocorkan lagi data milik 200 juta warga Indonesia.” Demikian
bunyi cuitnya.

Sebagai tambahan, akun tersebut juga
menyertakan tiga screenshot atau tangkapan layar komputer. Yakni, tangkapan
layar sebuah forum di raid forums, DPT pemilu, dan file folder nama-nama
kecamatan di Kabupaten Bantul, Daerah Istimewa Jogjakarta.

Saat dikonfirmasi, Komisioner KPU Viryan
mengatakan, sejak info tersebut beredar Kamis malam (21/5), pihaknya langsung
mengecek server data. Dan pada sore kemarin, tim IT KPU memastikan tidak ada
jejak hacker yang masuk sistem KPU. ”Tidak kena hack atau bocor atau diretas.
KPU sudah melakukan pengecekan terhadap data tersebut,” ujarnya kemarin.

Dari data yang ditampilkan, mantan komisioner
KPU Pontianak itu menyebutkan, data yang dicuit akun @underthebreach merupakan
data lama. ”Pic (gambar, Red) ini berdasarkan metadatanya tanggal 15 November
2013,” imbuhnya.

Viryan menjelaskan, dirinya belum mengetahui
dari mana sumber data tersebut. Namun, dia menengarai data tersebut berasal
dari sumber lain di luar KPU. Sebab, sesuai regulasi, soft file data pemilih
milik KPU bersifat terbuka dan diberikan ke sejumlah lembaga terkait untuk
memenuhi prinsip keterbukaan. ”Soft file data KPU tersebut (format PDF)
dikeluarkan sesuai regulasi dan untuk memenuhi kebutuhan publik,” ujarnya.

Hal itu diatur dalam UU Nomor 8 Tahun 2012
tentang Pemilihan Umum yang menjadi landasan Pemilu 2014. Dalam pasal 38 disebutkan,
KPU wajib menyerahkan salinan daftar pemilih kepada partai peserta pemilu. Itu
pun dengan perjanjian hanya untuk keperluan pemilu. ”Tidak untuk hal lain,”
kata dia.

Soal potensi 200 juta data lainnya yang akan
dipublikasikan pelaku pembobolan, dia justru mempertanyakan akurasinya. Sebab,
jumlah pemilih pada Pemilu 2014 tak sampai 190 juta.

Untuk mencari tahu sumber data tersebut, kata
Viryan, KPU berkoordinasi dengan pihak-pihak terkait. Di antaranya, Badan Siber
dan Sandi Negara (BSSN) serta Cyber Crime Mabes Polri. ”Hal ini untuk
menelusuri kebenaran klaim akun Twitter yang bersangkutan,” tuturnya.

Sementara itu, Dirjen Kependudukan dan
Pencatatan Sipil (Dukcapil) Kementerian Dalam Negeri Zudan Arif Fakrulloh
memastikan kasus tersebut tidak terkait dengan database kependudukan yang
dipegangnya. Selama ini peran dukcapil dalam data pemilih hanya sampai
penyerahan data penduduk potensial pemilih pemilu (DP4).

”Sejak penyerahan DP4, Dukcapil Kemendagri
meminta KPU berkomitmen mengelola data dengan menjaga kerahasiaan data
pribadi,” ujarnya.

Sebab itu, pasca-Pemilu 2014, dukcapil meminta
KPU agar nomor induk kependudukan (NIK) dan nomor kartu keluarga diganti dengan
tanda bintang. ”Tidak perlu ditampakkan agar tidak disalahgunakan untuk
pendaftaran kartu prabayar dan untuk membuat KTP elektronik palsu,” imbuhnya.

Seperti diketahui, saat ini KPU sudah tidak
lagi menampilkan NIK penuh dalam sistem data pemilihnya. Data yang diberikan ke
pihak lain sudah diblur atau diganti simbol bintang pada tiga angka di akhir
NIK.

Zudan menambahkan, database kependudukan yang
ada di Kemendagri dalam kondisi aman. ”Kami sudah memeriksa data centre, log,
dan traffic-nya. Alhamdulillah, semua tidak ada masalah,” kata pria asal Sleman
tersebut.

Di sisi lain, pakar keamanan siber Pratama
Pershada turut buka suara atas informasi terkait dengan data-data KPU yang
tersebar di raid forums. Berdasar penelusurannya, data-data tersebut bebas
diunduh seluruh member. Isinya berupa nama lengkap, nomor KTP dan KK, tempat
tanggal lahir, usia, status perkawinan, sampai alamat lengkap.

Meski KPU menyebut data-data itu bukan
rahasia, Pratama menilai seharusnya perlindungan terhadap data-data tersebut
tetap ada. Sebab, nomor KTP dan KK turut tercantum dalam data-data yang bebas
diunduh tersebut. ”Berbahaya jika disebar dan digunakan pihak tidak bertanggung
jawab,” tegas Pratama.

Dia mencontohkan, nomor KTP dan KK dapat
dipakai untuk mendaftarkan nomor telepon seluler atau pinjaman daring. Bahkan,
bila pelaku nekat, bisa saja mereka membuat gabungan data dari akun Tokopedia
dan Bukalapak yang pernah diretas.

Jika hal itu dilakukan, Pratama menyatakan,
data-data tersebut sangat mungkin dipakai untuk melakukan tindak kejahatan.
”Jelas itu sangat berbahaya,” imbuhnya.

Dia sempat memantau aktivitas akun-akun yang
mengunduh data-data itu dari raid forums. Sampai kemarin siang tercatat ada
seratusan akun yang sudah mengunduh. Karena itu, meski KPU menyampaikan
data-data tersebut terbuka, tidak bisa dijadikan alasan untuk tidak membuat
proteksi.

Pratama menegaskan, walau tidak bersifat
rahasia, data-data yang beredar itu tetap harus dilindungi KPU. ”Minimal
dienkripsi agar tidak sembarangan orang bisa memanfaatkan,” kata dia.

Dari kejadian tersebut, dia mengingatkan
pemerintah untuk lebih hati-hati mengelola data kependudukan. ”Perlu dipikirkan
lebih jauh terkait pengamanan enkripsi data penduduk,” tambahnya.

Selain itu, KPU harus lebih waspada. Sebab,
mereka sedang menyiapkan agenda pilkada serentak. Apalagi, setiap helatan
pemilu nyaris selalu ada isu terkait sistem IT KPU. ”Setiap gelaran pemilu dan
pilkada, KPU selalu mendapat ancaman untuk diretas,” ungkap dia.

Lebih lanjut, dia menyampaikan bahwa perlu ada
audit digital forensik di sistem IT KPU untuk memastikan dari mana data-data
yang disebar di raid forums itu berasal. Apakah memang diambil dari sistem IT
KPU. Atau malah bocor melalui stakeholder lain yang juga mendapat data tersebut
dari KPU.

Selain itu, audit dibutuhkan untuk menemukan
sebab dan celah kebocoran sistem jika memang terjadi. ”Kalau pelaku bisa masuk
ke server KPU, ada kemungkinan tidak hanya DPT yang mereka ambil. Tapi, juga
bisa mengakses hasil perhitungan pemilu. Secara teknis kalau peretas bisa
mencuri data, ada kemungkinan juga bisa mengubah data,” jelasnya.

Untuk itu, dia mendorong agar segera
dilaksanakan audit yang terperinci. ”Sangat bahaya apabila hasil pemungutan
suara pemilu diubah angkanya,” kata dia. 

Kasus dugaan kebocoran data penduduk kembali
terjadi. Kali ini data yang bocor diduga berasal dari data pemilih tetap (DPT)
pemilu yang dimiliki Komisi Pemilihan Umum (KPU).

Informasi dugaan jebolnya data tersebut kali
pertama dicuitkan akun Twitter @underthebreach pada Kamis malam (21/5). Akun
itu mengungkapkan, pelaku berhasil membocorkan identitas 2,3 juta warga
Indonesia. Mulai nama, alamat, nomor identitas, hingga tanggal lahir. ”Aktor
mengklaim akan membocorkan lagi data milik 200 juta warga Indonesia.” Demikian
bunyi cuitnya.

Sebagai tambahan, akun tersebut juga
menyertakan tiga screenshot atau tangkapan layar komputer. Yakni, tangkapan
layar sebuah forum di raid forums, DPT pemilu, dan file folder nama-nama
kecamatan di Kabupaten Bantul, Daerah Istimewa Jogjakarta.

Saat dikonfirmasi, Komisioner KPU Viryan
mengatakan, sejak info tersebut beredar Kamis malam (21/5), pihaknya langsung
mengecek server data. Dan pada sore kemarin, tim IT KPU memastikan tidak ada
jejak hacker yang masuk sistem KPU. ”Tidak kena hack atau bocor atau diretas.
KPU sudah melakukan pengecekan terhadap data tersebut,” ujarnya kemarin.

Dari data yang ditampilkan, mantan komisioner
KPU Pontianak itu menyebutkan, data yang dicuit akun @underthebreach merupakan
data lama. ”Pic (gambar, Red) ini berdasarkan metadatanya tanggal 15 November
2013,” imbuhnya.

Viryan menjelaskan, dirinya belum mengetahui
dari mana sumber data tersebut. Namun, dia menengarai data tersebut berasal
dari sumber lain di luar KPU. Sebab, sesuai regulasi, soft file data pemilih
milik KPU bersifat terbuka dan diberikan ke sejumlah lembaga terkait untuk
memenuhi prinsip keterbukaan. ”Soft file data KPU tersebut (format PDF)
dikeluarkan sesuai regulasi dan untuk memenuhi kebutuhan publik,” ujarnya.

Hal itu diatur dalam UU Nomor 8 Tahun 2012
tentang Pemilihan Umum yang menjadi landasan Pemilu 2014. Dalam pasal 38 disebutkan,
KPU wajib menyerahkan salinan daftar pemilih kepada partai peserta pemilu. Itu
pun dengan perjanjian hanya untuk keperluan pemilu. ”Tidak untuk hal lain,”
kata dia.

Soal potensi 200 juta data lainnya yang akan
dipublikasikan pelaku pembobolan, dia justru mempertanyakan akurasinya. Sebab,
jumlah pemilih pada Pemilu 2014 tak sampai 190 juta.

Untuk mencari tahu sumber data tersebut, kata
Viryan, KPU berkoordinasi dengan pihak-pihak terkait. Di antaranya, Badan Siber
dan Sandi Negara (BSSN) serta Cyber Crime Mabes Polri. ”Hal ini untuk
menelusuri kebenaran klaim akun Twitter yang bersangkutan,” tuturnya.

Sementara itu, Dirjen Kependudukan dan
Pencatatan Sipil (Dukcapil) Kementerian Dalam Negeri Zudan Arif Fakrulloh
memastikan kasus tersebut tidak terkait dengan database kependudukan yang
dipegangnya. Selama ini peran dukcapil dalam data pemilih hanya sampai
penyerahan data penduduk potensial pemilih pemilu (DP4).

”Sejak penyerahan DP4, Dukcapil Kemendagri
meminta KPU berkomitmen mengelola data dengan menjaga kerahasiaan data
pribadi,” ujarnya.

Sebab itu, pasca-Pemilu 2014, dukcapil meminta
KPU agar nomor induk kependudukan (NIK) dan nomor kartu keluarga diganti dengan
tanda bintang. ”Tidak perlu ditampakkan agar tidak disalahgunakan untuk
pendaftaran kartu prabayar dan untuk membuat KTP elektronik palsu,” imbuhnya.

Seperti diketahui, saat ini KPU sudah tidak
lagi menampilkan NIK penuh dalam sistem data pemilihnya. Data yang diberikan ke
pihak lain sudah diblur atau diganti simbol bintang pada tiga angka di akhir
NIK.

Zudan menambahkan, database kependudukan yang
ada di Kemendagri dalam kondisi aman. ”Kami sudah memeriksa data centre, log,
dan traffic-nya. Alhamdulillah, semua tidak ada masalah,” kata pria asal Sleman
tersebut.

Di sisi lain, pakar keamanan siber Pratama
Pershada turut buka suara atas informasi terkait dengan data-data KPU yang
tersebar di raid forums. Berdasar penelusurannya, data-data tersebut bebas
diunduh seluruh member. Isinya berupa nama lengkap, nomor KTP dan KK, tempat
tanggal lahir, usia, status perkawinan, sampai alamat lengkap.

Meski KPU menyebut data-data itu bukan
rahasia, Pratama menilai seharusnya perlindungan terhadap data-data tersebut
tetap ada. Sebab, nomor KTP dan KK turut tercantum dalam data-data yang bebas
diunduh tersebut. ”Berbahaya jika disebar dan digunakan pihak tidak bertanggung
jawab,” tegas Pratama.

Dia mencontohkan, nomor KTP dan KK dapat
dipakai untuk mendaftarkan nomor telepon seluler atau pinjaman daring. Bahkan,
bila pelaku nekat, bisa saja mereka membuat gabungan data dari akun Tokopedia
dan Bukalapak yang pernah diretas.

Jika hal itu dilakukan, Pratama menyatakan,
data-data tersebut sangat mungkin dipakai untuk melakukan tindak kejahatan.
”Jelas itu sangat berbahaya,” imbuhnya.

Dia sempat memantau aktivitas akun-akun yang
mengunduh data-data itu dari raid forums. Sampai kemarin siang tercatat ada
seratusan akun yang sudah mengunduh. Karena itu, meski KPU menyampaikan
data-data tersebut terbuka, tidak bisa dijadikan alasan untuk tidak membuat
proteksi.

Pratama menegaskan, walau tidak bersifat
rahasia, data-data yang beredar itu tetap harus dilindungi KPU. ”Minimal
dienkripsi agar tidak sembarangan orang bisa memanfaatkan,” kata dia.

Dari kejadian tersebut, dia mengingatkan
pemerintah untuk lebih hati-hati mengelola data kependudukan. ”Perlu dipikirkan
lebih jauh terkait pengamanan enkripsi data penduduk,” tambahnya.

Selain itu, KPU harus lebih waspada. Sebab,
mereka sedang menyiapkan agenda pilkada serentak. Apalagi, setiap helatan
pemilu nyaris selalu ada isu terkait sistem IT KPU. ”Setiap gelaran pemilu dan
pilkada, KPU selalu mendapat ancaman untuk diretas,” ungkap dia.

Lebih lanjut, dia menyampaikan bahwa perlu ada
audit digital forensik di sistem IT KPU untuk memastikan dari mana data-data
yang disebar di raid forums itu berasal. Apakah memang diambil dari sistem IT
KPU. Atau malah bocor melalui stakeholder lain yang juga mendapat data tersebut
dari KPU.

Selain itu, audit dibutuhkan untuk menemukan
sebab dan celah kebocoran sistem jika memang terjadi. ”Kalau pelaku bisa masuk
ke server KPU, ada kemungkinan tidak hanya DPT yang mereka ambil. Tapi, juga
bisa mengakses hasil perhitungan pemilu. Secara teknis kalau peretas bisa
mencuri data, ada kemungkinan juga bisa mengubah data,” jelasnya.

Untuk itu, dia mendorong agar segera
dilaksanakan audit yang terperinci. ”Sangat bahaya apabila hasil pemungutan
suara pemilu diubah angkanya,” kata dia.