Pakar Keamanan Siber Indonesia Sebut Pencurian Data BPJS yang Dijual di Raid Forums Benar Terjadi

TRIBUNNEWS.COM, TANGERANG - Dugaan kebocoran data 279 penduduk Indonesia menggegerkan jagad maya hingga saat ini, benar terjadi. Demikian menurut pakar keamanan siber Indonesia.

Karena jumlahnya tak main-main, data itu juga dijual di forum peretas Raid Forums dengan bitcoin.

Bahkan untuk meyakinkan data tersebut asli, pelaku bernama Kotz memberikan sampel gratis sebanyak satu juta data.

Satu juta data pribadi itu diduga bocor dari database BPJS Kesehatan di internet.

Baca juga: Kominfo Masih Telusuri Adanya Dugaan Bocornya 279 Data Penduduk Indonesia

Akun bernama Kotz memberikan akses download secara gratis untuk file sebesar 240 MB yang berisi satu juta data pribadi masyarakat Indonesia.

Menurut Pakar Keamanan Siber dari Vaksincom, Alfons Tanujaya, sampel tersebut datanya valid.

Hal itu berdasarkan pengecekan langsung dari data yang diunduh dari Raid Forums.

Alfons sendiri, langsung melakukan pengecekan dari Vaksincom, dan hasilnya data yang bocor memang data nomor BPJS dan ketika di crosscheck ke situs daftar.bpjs-kesehatan.go.id/bpjs-checking/ dan itu cocok.

"Sudah dicek dan memang valid dan sinkron di BPJS,” ujarnya, Jumat (21/5/2021).

“Masyarakat hanya bisa berdoa semoga para pengelola data diberikan kesadaran bahwa data yang dikelolanya adalah amanah yang harus dijaga, dan kebocoran data akan merugikan masyarakat luas," lanjut Alfons.

Hal serupa juga disampaikan pakar Keamanan Siber dari CISSReC, Pratama Persadha.

Ia menjelaskan dalam data yang diunduh yakni file CSV itu tertera NIK, nomor telepon, alamat, dan id BPJS.

"Memang benar data tersebut valid," kata Pratama.

Hal yang meyakinkan dirinya karena dalam file itu terdapat data NOKA atau nomor kartu BPJS kesehatan.

Berdasar klaim pelaku bernama Kotz, dirinya mempunyai data file sebanyak 272.788.202 juta penduduk.

Pratama melihat hal berbanding terbalik dengan data terakhir anggota BPJS kesehatan di akhir 2020 adalah 222 juta.

"Dari nomor BPJS Kesehatan yang ada di file bila dicek online ternyata datanya benar sama dengan nama yang ada di file,” katanya.

“Jadi memang kemungkinan besar data tersebut berasal dari BPJS Kesehatan,” imbuh Pratama.

Bila dicek, data sample sebesar 240 MB ini berisi nomor identitas kependudukan (NIK), nomor HP, alamat, alamat email, Nomor Pokok Wajib Pajak (NPWP), tempat tanggal lahir, jenis kelamin, jumlah tanggungan dan data pribadi lainnya yang bahkan si penyebar data mengklaim ada 20 juta data yang berisi foto.

Dugaan sementara data tersebut bocor karena peretas melakukan phishing yang ditargetkan atau jenis serangan rekayasa sosial (Sosial Engineering).

Sebelumnya, masyarakat dikejutkan dengan beredarnya informasi tentang kebocoran data ratusan juta warga Indonesia.

Data tersebut diduga bocor dari situs milik BPJS Kesehatan.

Data yang diklaim milik 279 juta penduduk Indonesia bahkan disebut dijual di sebuah forum online bernama Raid Forums.

Ratusan juta data tersebut dijual oleh seorang anggota forum dengan akun "Kotz".

Salah seorang pengguna Twitter dengan handle @Br_AM coba menghubungi sang penjual dan menanyakan, dari mana data tersebut diperoleh.

Dalam tangkapan layar percakapan @Br_AM dan penjual, diklaim bahwa dataset tersebut diambil dari situs bpjs-kesehatan.go.id.

Menanggapi hal tersebut, Kepala Humas BPJS Kesehatan M. Iqbal Anas Ma'ruf mengatakan bahwa sampai bulan Mei 2021, jumlah peserta BPJS Kesehatan adalah 222,4 juta jiwa.

Saat ini, pihaknya sedang melakukan penelusuran untuk memastikan apakah benar data tersebut berasal dari BPJS Kesehatan.

"Kami sudah mengerahkan tim khusus untuk sesegera mungkin melacak dan menemukan sumbernya," kata Iqbal dikutip dari Kompas.com.

Iqbal menambahkan bahwa BPJS Kesehatan konsisten untuk memastikan keamanan data peserta. 

"Dengan big data kompleks yang tersimpan di server kami, kami memiliki sistem pengamanan data yang ketat dan berlapis sebagai upaya menjamin kerahasiaan data tersebut, termasuk di dalamnya data peserta JKN-KIS," jelas Iqbal.

Lebih lanjut, Iqbal mengatakan bahwa pihaknya secara rutin melakukan koordinasi dengan pihak terkait untuk memberikan perlindungan data yang lebih maksimal.

Dihubungi secara terpisah, Menteri Komunikasi dan Informatika, Johnny G Plate mengatakan sedang melakukan pendalaman atas kasus kebocoran data pribadi tersebut.

"Kementerian Kominfo sedang melakukan pendalaman atas dugaaan kebocoran data tersebut," kata Johnny melalui pesan singkat.

Sementara Juru Bicara Kemenkominfo, Dedy Permadi mengatakan, hingga Kamis (20/5/2021) malam, pukul 20.00 WIB, belum dapat disimpulkan bahwa telah terjadi kebocoran data pribadi dalam jumlah yang masif seperti yang diduga.

"Kesimpulan ini diambil setelah dilakukan beberapa tahap pemeriksaan secara hati-hati terhadap data yang beredar," kata Deddy.

Data yang bocor Di dalam deskripsinya, penjual mengatakan bahwa data tersebut berisi NIK, nomor ponsel, e-mail, alamat, dan gaji.

Data tersebut termasuk data penduduk yang telah meninggal dunia.

Dari data 279 juta orang tersebut, 20 juta di antaranya disebut memuat foto pribadi. Adapun dataset tersebut dijual dengan harga 0,15 bitcoin, atau sekitar Rp 84,4 juta.

Penjual juga menyertakan tiga tautan berisi sampel data yang bisa diunduh secara gratis.

Saat mengunduh dan mencoba data sampel tersebut, KompasTekno mendapati beberapa nomor ponsel teridentifikasi di aplikasi penelusuran nomor Get Contact, dengan nama yang mirip dengan data nama yang ada di sampel.

Beberapa nomor lain juga ditemukan di aplikasi Get Contact, namun dengan nama pemilik yang berbeda dengan data sampel.

Saat menelusuri beberapa nama di Google, sangat mudah untuk menemukan media sosial mereka, yang tidak jarang mencakup identitas alamat lengkap, yang ternyata juga cocok dengan sampel.

Namun, sangat banyak pula data yang tidak cocok dan tidak teridentifikasi, ketika ditelusuri dengan mesin pencarian. Kendati demikian, belum diketahui pasti keabsahan data ini. (Fandi Permana)