Sabtu, 23 Maret 2024
FINTECHNESIA.COM |

Bertepatan dengan KTT G20, Bjorka Diduga Bocorkan Data PeduliLindungi

BACA JUGA




FinTechnesia.com | Perhelatan Konferensi Tingkat Tinggi G20 di Nusa Dua, Bali, menjadi catatan buruk bagi citra Indonesia di mata dunia. Bersamaan hajatan itu lebih dari 3,2 miliar data PeduliLindungi yang bocor dan dijual oleh Bjorka.

Beberapa hari yang lalu Bjork juga membocorkan salah satu aplikasi milik plat merah yaitu MyPertamina

Pakar keamanan siber Pratama Persadha menjelaskan, kebocoran tersebut diunggah pada Selasa (15/11) oleh anggota forum situs breached.to dengan nama identitas Bjorka. Ia memang sudah berjanji sebelumnya untuk membocorkannya aplikasi PeduliLindungi ke publik setelah aplikasi MyPertamina.

Bjorka membocorkan 3,2 miliar yang terbagi kedalam data pengguna, data vaksinasi, riwayat pelacakan, serta riwayat check-in pengguna aplikasi dengan memberikan sampel data.

Data yang diunggah yaitu Nama, Email, NIK (Nomor KTP), Nomor Telepon, Tanggal Lahir, Identitas Perangkat, Status COVID-19, Riwayat Checkin, Riwayat Pelacakan Kontak, Vaksinasi dan masih banyak data lainnya.

Data yang berjumlah 3,2 miliar ini dijual dengan harga US$ 100.000 atau sekitar Rp 1,5 miliar menggunakan menggunakan mata uang bitcoin”, terang chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center itu, Selasa (15/11)

Pratama mengemukakan, data yang diklaim oleh Bjorka berjumlah 3.250.144.777 data dengan total ukuran mencapai 157 GB bila dalam keadaan tidak dikompres.

Data sampelnya dibagi menjadi 5 file. Yaitu Data Pengguna sebanyak 94 Juta, Akun yang sudah disortir sebanyak 94 Juta, Data Vaksinasi 209 Juta, Data Riwayat Check-In 1,3 Milyar, dan Riwayat Pelacakan Kontak sebanyak 1,5 miliar.

Saat dicek apakah data ini valid menggunakan aplikasi pengecek nomor KTP, maka data ini benar valid terdata di data kependudukan. Dan jika diperiksa lebih lanjut pada sample datanya, ada banyak kordinat lokasi yang bertepatan dengan fitur check-in PeduliLindungi di tempat – tempat publik.

Baca juga: Bjorka Comeback, Tepati Janji dengan Mengklaim Bocorkan Data MyPertamina, Ini Kata Pakar Siber

Menurutnya, sampai saat ini sumber datanya masih belum jelas, Namun soal asli atau tidaknya data ini hanya instansi yang terlibat dalam pembuatan aplikasi pedulilindungi yaitu Kominfo, Kementrian BUMN, Kemenkes dan Telkom.

“Dan juga sangat disayangkan data yang sangat sensitif ini tidak maksimal pengamanannya, misalnya dengan melakukan enkripsi datanya. Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana”, jelas pria asal Cepu, Jawa Tengah ini.

Perlu dicek dahulu sistem informasi dari aplikasi PeduliLindungi yang datanya dibocorkan oleh Bjorka. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data.

Namun dengan pengecekan yang menyeluruh dan digital forensic, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam.

Ditambahkan olehnya, Jika nantinya sudah melakukan pengecekan yang menyeluruh dan digital forensik dan bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam.

Hal ini memang bukan barang baru, karena dalam kebocoran data ada 3 penyebab utama. Yaitu peretasan, karena human eror atau tindakan orang dalam dan terakhir karena adanya kesalahan dalam sistem informasi tersebut.

Jadi setiap kebocoran data tidak selalu disebabkan oleh serangan siber oleh para peretas. Namun bila serangan oleh para peretas, itupun tidak langsung bisa diidentifikasi para penyerangnya. Ini juga terkait sejauh mana kemampuan dari si peretas.

Dan bila benar ini data PeduliLindungi, maka berlaku pada Pasal 46 UU PDP ayat 1 dan 2, yang isinya bahwa dalam hal terjadi kegagalan perlindungan data pribadi maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam. Pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP).

“Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi,” terangnya. (jun)


BERITA TERBARU

BERITA PILIHAN

header

POPULER