Gawat, Data Pribadi Pemilih di KPU Dibobol Jimbo, Laku Dijual Seharga 1,2 Miliar

WARTAKOTALIVE.COM, JAKARTA--Komisi Pemilihan Umum (KPU) telah melaporkan dugaan data pemilih yang diambil oleh peretas.

Hal tersebut disampaikan oleh Menteri Komunikasi dan Informatika (Menkominfo) Budi Arie Setiadi.

"Ya itu intinya ke Pak Ketua KPU kan. Dia (KPU) tadi sih bilang sama saya, dia datanya diambil, data pemilih," ujar Budi Arie di Kompleks Istana Kepresidenan, Jakarta, Rabu (29/11/2023).

"Itu kita koordinasi dulu dengan Badan Siber dan Sandi Negara (BSSN), dengan KPU, untuk terus mengantisipasi soal keamanan IT KPU," imbuhnya.

Budi Arie pun mengungkapkan, saat ini Kemenkominfo melakukan penelusuran penyebab dugaan kebocoran data. Dia sudah menugaskan Direktur Jenderal Aplikasi Informatika (Aptika) untuk menyelidiki hal itu.

Baca juga: Dituding Megawati Pemerintah Saat Ini Mirip Orde Baru, Presiden Jokowi Cuma Senyum

"Kita terus melakukan penelusuran. Saya sudah menugaskan Dirjen Aptika untuk melakukan penelitian apa penyebabnya, dan bagaimana mengantisipasinya. Pemerintah ingin pesoalan ini selesai secepatnya," ujar Budi.

Sebelumnya, seorang peretas dengan nama anonim "Jimbo" mengeklaim telah meretas situs kpu.go.id dan berhasil mendapatkan data pemilih dari situs tersebut.

"Jimbo" membagikan 500.000 data contoh yang berhasil ia peroleh melalui salah satu unggahan di situs BreachForums yang kerap digunakan untuk jual beli hasil peretasan.

Dia juga membagikan beberapa tangkapan layar dari situs web https://cekdptonline.kpu.go.id/ untuk meyakinkan kebenaran data yang didapatkan.

Dalam unggahan itu, "Jimbo" juga mengaku menemukan 204.807.203 data unik, jumlah yang hampir sama dengan jumlah pemilih di dalam daftar pemilih tetap (DPT) KPU RI sebanyak 204.807.203 pemilih.

Di dalam data yang "bocor" itu, "Jimbo" mendapatkan data pribadi seperti NIK, nomor KTP, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, sampai kode kelurahan, kecamatan, dan kabupaten, serta TPS. Data-data itu dijual dengan harga 74.000 dolar Amerika atau sekitar Rp 1,2 miliar.

Pada tangkapan layar lainnya, "Jimbo" mengunggah foto menyerupai halaman situs KPU yang dianggap membuktikan bagaimana ia meretas situs KPU.

"Nampak sebuah halaman website KPU yang kemungkinan berasal dari halaman dashboard pengguna, di mana dengan adanya tangkapan layar tersebut, maka kemungkinan besar Jimbo berhasil mendapatkan akses login dengan role Admin KPU dari domain sidalih.kpu.go.id menggunakan metode phising, social engineering atau melalui malware," kata Chairman Lembaga Riset Siber Indonesia (CISSReC/Communication & Information System Security Research Center) Pratama Persadha, dalam keterangan tertulisnya, Selasa malam.

Baca juga: Bukan Ganjar, Ternyata Ibunda Cak Imin Justru Waspadai Sepak Terjang Tokoh Jawa Timur Ini

"Dengan memiliki akses dari salah satu pengguna tersebut Jimbo mengunduh data pemilih serta beberapa data lainnya. CISSReC juga sebelumnya sudah memberikan alert kepada Ketua KPU tentang vulnerability di sistem KPU pada tanggal 7 Juni 2023," imbuhnya.

Secara terpisah Ketua Komisi Pemilihan Umum (KPU) Hasyim Asy'ari mengatakan, pihaknya sedang memeriksa kebenaran informasi soal dugaan kebocoran data pemilih.

KPU bekerja sama dengan tim dari Badan Siber dan Sandi Negara (BSSN), Badan Intelijen Negara (BIN), Kementerian Komunikasi dan Informatika (Kemenkominfo), dan Cyber Crime Mabes Polri untuk memeriksa dugaan kebocoran itu.

"Kami masih memastikan apakah informasi itu benar atau tidak. Kami bekerja sama dengan tim yang selama ini sudah ada, yaitu tim dari KPU, tim dari BSSN, kemudian dari tim Cyber Crime Mabes Polri dan juga BIN dan Kemenkominfo. Ini tim sedang kerja untuk memastikan kebenaran informasi," ujar Hasyim di Kompleks Istana Kepresidenan, Jakarta, Rabu (29/11/2023).

"Yang paling penting sekarang sedang diperiksa, sedang dicek, sedang dilacak kebenaran informasi tersebut," kata dia.

Saat ditanya lebih lanjut apakah KPU akan melaporkan kepada pihak kepolisian, Hasyim menyatakan kemungkinan mengambil langkah itu ada.

Hanya saja, pihaknya masih menunggu informasi tambahan untuk menguatkan dugaan indikasi kebocoran data tersebut.

"Tim di dalam yang menangani IT KPU di dalamnya ada tim dari Cyber Crime Mabes Polri. Nanti kalau sudah indikasi sudah jelas tentu ada tindakan lanjutan," ucap Hasyim.

Sementara itu, saat ditanya soal keamanan data, Hasyim meminta agar masyarakat bisa memeriksa secara online di situs dptonline.kpu.go.id. "Nanti masuk ke situ dan kemudian bisa diakses lewat nomor induk kependudukan kita masing-masing," kata Hasyim.

Sedang dicek

koordinator Divisi Data dan Informatika KPU RI Betty Epsilon Idroos mengaku belum bisa memastikan apakah data yang diduga bocor itu terkonfirmasi milik KPU.
"Lagi di-crosscheck dulu ya," kata dia, dilansir dari Kompas.com, Rabu (29/11/2023).

Saat ini, Divisi Data dan Informasi KPU RI bersama Gugus Tugas Keamanan Siber Sistem Informasi KPU RI sedang melakukan pengecekan atau digital foot print analysis terhadap sistem informasi KPU yang memuat data pemilih.

Dugaan data KPU bocor pernah terjadi 2022 Dugaan peretasan yang menyasar data KPU bukan pertama kali terjadi.

Anonim Bjorka

Sebelumnya, pada September 2022, dugaan data KPU bocor juga pernah santer beredar di media sosial X (dulu Twitter).

Saat itu, peretas anonim Bjorka mengklaim berhasil meretas 105 juta data kependudukan warga Indonesia dan menjualnya di forum online BreachForums.

"Pada waktu Bjorka, situs KPU juga diisukan teretas, tetapi faktanya tidak teretas," kata Komisioner KPU Idham Holik.

Idham memastikan, data yang dipublikasikan oleh Bjorka saat itu bukan file data Pemilu 2019 ataupun 2024.
Idham menjelaskan, secara spesifik terdapat beberapa hal yang berbeda antara data KPU dengan data yang diduga bocor.

Pertama, header data yang dibagikan Bjorka bukan header data yang biasa ditampilkan oleh KPU.

"Header-nya (di data Breached) itu kan jenis kelamin, nomor KK, NIK, ‘disabilitas’. Biasanya kami dalam menampilkan data itu dengan kolom kelamin, nomor KK, NIK, dan ‘difabel’,” kata dia.

Kedua, kolom usia dalam data yang bocor di forum Breached tidak pernah ada dalam data Sistem Data Pemilih (Sidalih) mana pun.

Terakhir, kode identitas wilayah yang menurutnya tidak sesuai dengan kode yang digunakan KPU RI. “(Misalnya), melihat dari ID provinsi, kecamatan, dan kelurahan, itu (data di forum Breached) bukan ID yang biasa kami tampilkan. Bahkan, kalau melihat data tersebut, Sulawesi Selatan ID-nya bukan itu,” jelas Idham.

Artikel ini telah tayang di Kompas.com dengan judul "Data Pemilih Diduga Bocor, Menkominfo: KPU Bilang Datanya Diambil"