Bagimu Negeri Data Pribadi Kami

Hanya butuh waktu tiga jam bagi Aan—bukan nama sebenarnya—untuk mendapatkan ribuan data pribadi konsumen sebuah apartemen di Medan, Sumatera Utara, milik anak perusahaan BUMN. Data-data berupa KTP, nomor rekening, dan jumlah transaksi itu dia dapatkan dari sebuah cloud storage, media penyimpanan file berbasis daring.

Semula Aan tidak pernah menargetkan data-data tersebut. Aan menjelaskan hanya melakukan penetration testing (pentest) sebuah situs web pengembang apartemen. Pentest merupakan metode untuk mengevaluasi keamanan sebuah sistem. Ternyata Aan malah menemukan jalur untuk meretasnya, melalui e-mail dan password admin yang didapatkan. Aan lalu membuka penyedia cloud storage yang berbasis di Auckland, Selandia Baru, milik MEGA Limited. 

"Saya iseng login ke mega.nz, ternyata bisa dan banyak dokumen itu," kata Aan melalui aplikasi Telegram kepada reporter detikX pekan lalu.

Aan mengunduh 2.000 data konsumen apartemen itu dengan total 3 gigabyte. Lalu dia menjualnya di forum online, breached.to. Dia menggunakan username Anjim45. Data-data tersebut dia tawarkan di utas berjudul 'INDONESIAN ID KTP KK DATA AND MORE'.

Itu bukan satu-satunya utas yang Aan buat. Di forum itu, Aan juga menjual berbagai macam jenis data lainnya. Salah satunya data 200 ribu lebih KTP WNI yang dia dapat dari situs web perusahaan swasta.

"Saya belum bisa sebut dari mana karena belum laku. Kalau dikasih tahu, nanti dicomot orang," katanya sambil tertawa.

Aktivitas menjual data hasil retasan ini baru Aan lakukan beberapa bulan terakhir. Dia melakukan itu di sela-sela pekerjaan utamanya. Namun Aan mengklaim memang kerap melakukan pengujian keamanan berbagai situs web, baik swasta maupun milik pemerintah.

Saat berkomunikasi dengan reporter detikX melalui pesan singkat, Aan menunjukkan tangkapan layar ponsel yang menunjukkan dirinya masuk ke sistem situs web milik salah satu perusahaan swasta. Dia mengatakan sedang menemukan bug atau celah keamanan.

"Setiap menemukan bug di website pemerintah atau swasta, saya selalu melaporkannya," kata dia. "Tetapi sering tidak mendapat respons. Kalaupun direspons, paling hanya bilang terima kasih."

Aan juga mengaku sering menemukan bug di situs web milik pemerintah. Menurut Aan, kebanyakan pihak swasta maupun pemerintah sama-sama tidak menjaga keamanan digitalnya dengan baik. Satu-satunya kendala melakukan peretasan, klaim Aan, hanyalah masalah kecepatan internet.

Karena itu, Aan berharap, pemerintah bisa lebih apresiatif kepada orang-orang yang bisa menemukan bug atau celah keamanan siber. "Berilah dukungan, minimal diberdayakan, apalagi kalau bisa dipekerjakan," kata dia. "Syukur-syukur kalau diberi imbalan."

Aan adalah satu dari hacker penjual data pribadi warga yang dikelola pihak pemerintah maupun swasta. Memang isu cacatnya keamanan data di Indonesia bukanlah hal baru. Namun, belakangan, isu ini mendapat perhatian banyak pihak karena hacker dengan nama palsu Bjorka berhasil mendapatkan 1,3 miliar data pengguna subscriber identity module (SIM) card Indonesia dan menjualnya di forum breached.to.

Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika Semuel Abrijani Pangarepan membenarkan adanya kebocoran data tersebut. Namun data-data yang bocor itu, menurutnya, tidak seluruhnya akurat. Pernyataan itu disampaikannya setelah menggelar rapat koordinasi dengan seluruh operator seluler, Direktorat Jenderal Kependudukan dan Catatan Sipil, Badan Siber dan Sandi Negara, Bareskrim Polri, serta Direktorat Jenderal Penyelenggara Pos dan Informatika Kemenkominfo.

“Jadi, dalam kesimpulannya tadi, semua melaporkan bahwa (struktur data) tidak sama, tapi ada beberapa file yang ada kemiripannya. Untuk itu, dari semua operator, begitu juga dari Dukcapil, kami sepakat untuk dilakukan investigasi lebih dalam lagi,” kata Semuel, Senin, 5 September 2022.

Pada waktu yang sama, Semmy—panggilan akrab Semuel—meminta para hacker tidak menyerang pemerintah. "Kalau bisa, jangan nyerang-lah. Orang itu perbuatan illegal access, kok," katanya.

Selain data kartu SIM seluler, Bjorka, yang mengaku bertempat tinggal di Polandia dan kenal dengan beberapa orang Indonesia, menjual 105 juta data warga negara Indonesia yang dikelola Komisi Pemilihan Umum (KPU). Dia juga menjual surat-surat kepresidenan periode 2019-2021. Bjorka mengklaim data itu didapatkan dari hasil peretasan. KPU dan BIN sama-sama membantah klaim Bjorka tersebut.

Mengetahui berbagai respons dari pemerintah Indonesia, tindakan Bjorka justru semakin menjadi-jadi. Dia mengolok-olok pemerintah dengan mengumbar data pribadi para pejabat negara, di antaranya Menteri Komunikasi dan Informatika Johnny Gerard Plate; Menteri Koordinator Bidang Politik, Hukum, dan Keamanan Mahfud Md; Menteri Koordinator Bidang Kemaritiman dan Investasi Luhut Binsar Panjaitan; serta Gubernur DKI Jakarta Anies Baswedan.

Melalui akun Twitter miliknya, Bjorka berkicau, aktivitas peretasan yang dia lakukan itu untuk menunjukkan betapa mudahnya membobol sistem dan mengambil data-data yang dikelola pemerintah. Menurutnya, pemimpin pemerintahan Indonesia telah diisi oleh orang-orang yang salah.

“Ini adalah era baru untuk berdemo dengan cara berbeda. Tidak ada yang akan berubah jika orang bodoh masih diberi kekuatan yang sangat besar. Pemimpin tertinggi dalam teknologi harus ditugaskan kepada seseorang yang mengerti, bukan politikus dan bukan seseorang dari angkatan bersenjata. Karena mereka hanyalah orang-orang bodoh,” kata Bjorka melalui akun Twitternya, dalam bahasa Inggris.

Sikap Bjorka menuai pro-kontra di berbagai platform media sosial. Sebagian warga mengecam tindakan Bjorka karena telah membocorkan data masyarakat, tetapi sebagian lainnya mendukung. Mereka mendukung Bjorka karena kecewa terhadap buruknya perlindungan data warga yang dikelola pemerintah.

Memang, selama ini data pribadi masyarakat sudah bocor berkali-kali. Tahun ini saja ada beberapa data yang diduga bocor, di antaranya data pelanggan PLN, data pelamar kerja Pertamina, dan data Bank Indonesia.

Saling Lempar Tanggung Jawab

Chairman Lembaga Riset Keamanan Siber dan Komunikasi Pratama Persada menilai berbagai kasus kebocoran data yang terjadi menunjukkan betapa buruknya tata kelola sistem digital Indonesia. Selama ini bahkan tidak ada pihak yang merasa bertanggung jawab atas kebocoran data pribadi warga.

Pada kasus kebocoran 1,3 miliar data kartu SIM seluler beserta NIK, misalnya, eks Ketua Tim IT Presiden ini mengatakan Kemenkominfo melempar tanggung jawab perlindungan data ke pihak operator seluler. Menurutnya, ini tidak masuk akal.

"Sampai sekarang tidak ada yang mengakui ini datanya (yang bocor) milik siapa, yang menyimpan siapa. Padahal jelas-jelas pada 2018 kita dipaksa untuk registrasi SIM card. Yang menyuruh kita adalah Kemenkominfo. Ini kan program Kemenkominfo. Masa iya, Kemenkominfo nggak mengerti ini data disimpan di mana?" ujar Pratama kepada reporter detikX pekan lalu.

Kalaupun memang data-data SIM card tersebut tidak disimpan di server Kemenkominfo, Pratama melanjutkan, seharusnya mereka tahu datanya disimpan di mana dan siapa yang bertanggung jawab jika terjadi kebocoran. Sebab, itu seharusnya menjadi bagian dari rencana sebelum kebijakan registrasi kartu SIM seluler dilakukan.

Pratama yakin data SIM card yang bocor itu bukan dari pihak operator. Dari sekitar 1,4 juta sampel yang diberikan Bjorka sebagai bukti dan bisa diunduh dalam thread-nya, nomor-nomor tersebut berasal dari berbagai operator seluler.

"Nggak mungkin hacker ini mengambil data dari satu per satu operator. Sebab, sistemnya berbeda-beda. Jadi tidak akan sekuat itu kemampuannya. Ini pasti mengambil dari satu tempat," kata Pratama.

Pengetahuan mengenai sumber kebocoran ini merupakan hal penting untuk mengevaluasi kelemahan sistem penyimpanan data. Dengan itu, Pratama mengatakan, audit digital forensic bisa dilakukan untuk mengetahui siapa yang mengambil datanya dan bagaimana caranya. Kebocoran data bukan hanya bisa disebabkan oleh peretasan, tetapi juga bisa diambil secara cuma-cuma oleh pihak yang memegang akses terhadap sistem.

"Ketika kita tidak tahu data sebesar ini disimpan di mana, kita jadi meragukan: bagaimana sebenarnya tata kelola IT di pemerintahan kita?" kata Pratama. "Ini kan menakutkan. Jangan-jangan semua data yang kita berikan kepada pemerintah tidak ketahuan datanya tersimpan di mana."

Pratama mengingatkan, masalah keamanan sistem digital merupakan hal serius. Sebab, ini bisa menimbulkan pelbagai gangguan, bahkan tindakan kriminal, terhadap masyarakat. Mulai SMS spam, penawaran kartu kredit, penawaran pinjaman daring, penipuan dengan mengirimkan tautan untuk mengambil alih akun (phishing), mengambil alih dompet digital, dan bahkan mengambil alih rekening bank.

Sebab, berbagai jenis data yang dijual itu, jika dikumpulkan, akan menjadi data yang lengkap. "Ini bisa digunakan untuk mengambil alih m-banking atau internet banking orang lain sehingga bisa terjadi pencurian," kata Pratama.

Semuel Abrijani Pangerapan enggan menanggapi sejumlah pertanyaan yang dikirimkan reporter detikX melalui WhatsApp mengenai masalah ini. Sebelumnya, ia sempat menjanjikan untuk diwawancarai, tetapi tidak ada kejelasan mengenai janji itu hingga melewati tenggat laporan ini.

Direktur Eksekutif Southeast Asia Freedom of Expression Network (SAFEnet) Damar Juniarto mengatakan bocornya 1,3 miliar data SIM card di Indonesia merupakan rekor terburuk se-Asia. Ini mengalahkan rekor kebocoran data SIM card di Malaysia pada 2017, yang berjumlah sekitar 46 juta. Apalagi sudah ada banyak kasus kebocoran data lainnya.

"Maka menjadi wajar kalau kemudian warga marah. Saya rasa kita semua geram," kata Damar pekan lalu.

Sebenarnya, sebelum kebijakan registrasi SIM card dilakukan Kemenkominfo, Damar sudah mengajukan pertanyaan-pertanyaan mengenai aspek mitigasi, perlindungan, dan keamanan data. Kala itu, ia mengaku menanyakan langsung kepada Semuel Abrijani Pangerapan. Namun pertanyaan-pertanyaannya tidak mendapat jawaban.

"Kelihatan sekali Indonesia menyepelekan penyimpanan data warga yang dikumpulkan melalui berbagai mekanisme," keluhnya.