Telset.id, Jakarta – Kasus kebocoran 279 juta data penduduk Indonesia mendapat perhatian khusus dari pakar keamanan siber Pratama Persadha. Pratama menduga jika jutaan data penduduk yang bocor dan dijual di Raid Forums berasal dari BPJS Kesehatan.
Menurut Pratama file tersebut dibagikan sejak 12 Mei 2021. File tersebut berisi Nomor Identitas Kependudukan (NIK), nomor telepon, email, Nomor Pokok Wajib Pajak (NPWP), dan lain sebagainya.
“Bila di cek, data sample sebesar 240MB ini berisi nomor identitas kependudukan (NIK), nomor HP, alamat, alamat email, Nomor Pokok Wajib Pajak (NPWP), tempat tanggal lahir, jenis kelamin, jumlah tanggungan dan data pribadi lainnya,” ujar Pratama.
“Selain itu si penyebar data mengklaim ada 20 juta yang berisi foto,” sambung Pratama melalui keterangan resmi yang diterima pada Jumat (21/05/2021).
Di data tersebut Pratama menemukan keanehan. Menurut pelaku penyebar data, dirinya memiliki Nomor Kartu BPJS Kesehatan atau NOKA dari 272.788.202 juta penduduk. Hal ini aneh karena jumlah peserta BPJS Kesehatan hingga akhir 2020 hanya 222 juta orang.
{Baca juga: Kominfo Dalami Kasus Kebocoran Data 279 Juta Penduduk RI}
Tetapi ketika dicek ternyata NOKA yang dimiliki pelaku dengan nama akun kotz1234567 ini cocok dengan NOKA pengguna BPJS Kesehatan. Pramata berpendapat bahwa kemungkinan besar pelaku mengambil data dari BPJS Kesehatan.
“Dari nomor BPJS Kesehatan yang ada di file bila dicek online ternyata datanya benar sama dengan nama yang ada di file. Jadi memang kemungkinan besar data tersebut berasal dari BPJS Kesehatan,” jelasnya.
Data BPJS Bisa Digunakan Pelaku Kejahatan
Pramata berpendapat bahwa kasus kebocoran data yang diduga milik BPJS Kesehatan ini berbahaya. Pemerintah harus segera bertindak karena data yang bocor bisa digunakan untuk tindak kejahatan seperti phishing atau social engineering.
“Data dari file yang bocor dapat digunakan oleh pelaku kejahatan. Dengan melakukan phishing yang ditargetkan atau jenis serangan social engineering,” kata Pratama.
“Walaupun didalam file tidak ditemukan data yang sangat sensitif seperti detail kartu kredit namun dengan beberapa data pribadi yang ada, maka bagi pelaku penjahat dunia maya sudah cukup untuk menyebabkan kerusakan dan ancaman nyata,” tambahnya.
Pelaku kejahatan siber bisa menggabungkan informasi yang ditemukan dalam file CSV yang bocor dengan pelanggaran data lain untuk membuat profil terperinci dari calon korban mereka seperti data dari kebocoran Tokopedia, Bhinneka, Bukalapak dan lainnya.
{Baca juga: 279 Juta Data Penduduk Indonesia Bocor, Dijual di Forum Hacker}
Dengan informasi seperti itu, pelaku kejahatan dapat melakukan serangan phising dan social engineering yang jauh lebih meyakinkan bagi para korbannya.
“Yang jelas tidak ada sistem yang 100% aman dari ancaman peretasan maupun bentuk serangan siber lainnya. Karena sadar akan hal tersebut, maka perlu dibuat sistem yang terbaik dan dijalankan oleh orang-orang terbaik dan berkompeten,” tegas Pratama.
Terakhir Pratama menyarankan mulai saat ini seluruh instansi pemerintah wajib bekerjasama dengan BSSN untuk melakukan audit digital forensik dan mengetahui lubang-lubang keamanan mana saja yang ada.
Langkah ini sangat perlu dilakukan untuk menghindari pencurian data di masa yang akan datang seperti kasus dugaan kebocoran data yang terjadi pada BPJS Kesehatan.
{Baca juga: Duh! 5,8 Juta Data Pengguna RedDoorz Bocor di Dark Web}
“Pemerintah juga wajib melakukan pengujian sistem atau Penetration Test (Pentest) secara berkala kepada seluruh sistem lembaga pemerintahan. Ini sebagai langkah preventif sehingga dari awal dapat ditemukan kelemahan yang harus diperbaiki segera,” tutupnya. [NM/HBS]
