Fikri Kurniawan
IDXChannel - Satu juta data pribadi yang kemungkinan dari BPJS Kesehatan tersebar di internet. Akun bernama Kotz memberikan akses unduh secara gratis untuk fail sebesar 240 MB, yang berisi data pribadi masyarakat Indonesia.
Menurut pakar keamanan siber, Pratama Persadha, kejadian semacam ini seharusnya tidak terjadi pada data yang dihimpun oleh negara.
Seluruh instansi pemerintah disarankan wajib bekerja sama dengan BSSN, untuk melakukan audit digital forensik dan mengetahui lubang-lubang keamanan mana saja yang ada.
"Langkah ini sangat perlu dilakukan untuk menghindari pencurian data di masa yang akan datang," kata Pratama, dalam keterangannya, Jumat (21/5/2021),
Pratama melanjutkan, pemerintah juga dinilai wajib melakukan pengujian sistem atau Penetration Test (Pentest) secara berkala kepada seluruh sistem lembaga pemerintahan.
Hal ini sebagai langkah preventif, sehingga dari awal dapat ditemukan kelemahan yang harus diperbaiki segera.
Penguatan sistem dan SDM juga harus ditingkatkan, serta adopsi teknologi utamanya untuk pengamanan data juga perlu dilakukan. Sebab, Indonesia sendiri masih dianggap rawan peretasan karena memang kesadaran keamanan siber masih rendah.
Data yang tersebar dari kebocoran ini berisikan nomor identitas kependudukan (NIK), nomor HP, alamat, email, Nomor Pokok Wajib Pajak (NPWP), tempat tanggal lahir, jenis kelamin, jumlah tanggungan, dan data pribadi lainnya, bahkan penyebar mengklaim ada 20 juta data yang berisi foto.
Fail tersebut dibagikan sejak 12 Mei 2021. Dan dalam sepekan ini, ramai menjadi perhatian publik. Akun tersebut juga mengklaim mempunyai lebih dari 270 juta data lainnya yang dijual seharga USD6 ribu atau sekitar Rp86,1 juta.
"Dalam file yang di-download tersebut ada data NOKA atau nomor kartu BPJS kesehatan," tutur Pratama.
Selain itu, menurut klaim pelaku, dirinya mempunyai data file sebanyak 272.788.202 juta penduduk. Pratama melihat hal ini aneh bila akun Kotz mengaku mempunyai 270 juta lebih data serupa, padahal anggota BPJS kesehatan sendiri di akhir 2020 adalah 222 juta.
“(Tapi) dari nomor BPJS Kesehatan yang ada di fail bila dicek online, ternyata datanya benar sama dengan nama yang ada di fail. Jadi memang kemungkinan besar data tersebut berasal dari BPJS Kesehatan,” jelasnya.
Data dari fail yang bocor dapat digunakan oleh pelaku kejahatan, dengan melakukan phishing yang ditargetkan atau jenis serangan rekayasa sosial (Sosial Engineering).
Walaupun di dalam fail tidak ditemukan data yang sangat sensitif seperti detail kartu kredit, namun dengan beberapa data pribadi yang ada, maka cukup bagi pelaku penjahat dunia maya untuk menyebabkan kerusakan dan ancaman nyata.
"Pelaku kejahatan dapat menggabungkan informasi yang ditemukan dalam file CSV yang bocor dengan pelanggaran data lain, untuk membuat profil terperinci dari calon korban mereka seperti data dari kebocoran Tokopedia, Bhinneka, Bukalapak, dan lainnya," ujar Pratama.
"Yang jelas tidak ada sistem 100% aman dari ancaman peretasan maupun bentuk serangan siber lainnya," tambah chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center) ini. (TIA)
