Kabar kebocoran data yang diklaim milik penduduk di Indonesia kembali terjadi. Saat ini sekitar 279 juta data dijual di situs surface web Raid Forum.

Ratusan data tersebut dijual oleh seorang anggota forum dengan akun "Kotz". Dalam keterangannya, Kotz mengatakan data tersebut berisi NIK, nomor ponsel, e-mail, alamat, dan gaji. Dari 279 juta data, 20 juta di antaranya disebut memuat foto pribadi.

Seorang pengguna Twitter dengan akun @Br_AM mengungkap bahwa dataset yang diduga berisi data pribadi penduduk Indonesia itu dijual dengan harga 0,15 bitcoin atau sekitar Rp 84,4 juta.

Hal itu didapatkannya setelah mencoba menghubungi sang penjual. Dalam tangkapan layar percakapan @Br_AM dan penjual, diklaim bahwa dataset tersebut diambil dari situs bpjs-kesehatan.go.id.

Pernyataan kebocoran dari situs BPJS-Kesehatan ini diperkuat oleh Pakar keamanan siber. Dikutip dari Kontan Kepala lembaga riset siber Communication & Information System Security Research Center (CISSReC), Pratama Persadha mengatakan benar adanya jika dilihat dari sampel data.

"Sepertinya yang bocor bukan dari sistem servernya Dukcapil tempat data EKTP, tetapi dari BPJS Kesehatan kalau dilihat dari sampel datanya," kata Pratama.

Bukti Adanya Peretasan

Di situs Raid Forum, penjual tidak menuliskan berapa harga yang dipatok untuk mendapatkan dataset yang diklaim data pribadi penduduk Indonesia. Namun penjual menyertakan tiga tautan berisi sampel data yang bisa diunduh secara gratis.

“Ada data NIK dan KK yang bisa secara random dicek dan ternyata betul data tersebut cocok saat dicek. Artinya memang data yang disebar tersebut benar data dari tanah air, yang kemungkinan besar dari BPJS Kesehatan. Untuk data satu juta yang bisa didownload tadi kami lihat memang cukup lengkap, ada nama, tempat tanggal lahir, alamat, jumlah tanggungan dan nomor HP. Bahkan ada NIK KTP dan NPWP juga," ungkap Kepala lembaga riset siber Communication & Information System Security Research Center (CISSReC) yang dikutip dari Kontan.

Salahsatu rekan media dari KompasTekno juga mencoba mengunduh data-data tersebut dan mencoba mengidentifikasi secara acak.

Baca juga : Ketahui Pentingnya Password Manager

Hasilnya, beberapa nomor ponsel teridentifikasi di aplikasi Get Contact dengan nama yang mirip dengan data yang ada di sampel. Beberapa nomor lain yang dicoba juga teridentifikasi di aplikasi Get Contact namun dengan nama yang berbeda.

Ketika menelusuri beberapa nama di Google, sangat mudah untuk menemukan media sosial mereka yang tidak jarang mencakup identitas alamat lengkap, yang ternyata juga cocok dengan sampel.

Namun, banyak juga data yang tidak cocok dan tidak teridentifikasi ketika ditelusuri dengan mesin pencarian. Demikian, belum diketahui pasti keabsahan data penduduk Indonesia yang diretas ini.

Pratama Kepala lembaga riset siber Communication & Information System Security Research Center (CISSReC) juga mengungkap meski sampel menunjukan peretas mengambil data dari situs BPJS-Kesehatan, kemungkinan besar peretas berbohong dengan klaim yang disampaikan.

"Namun menurut klaim pelaku yang punya data 279 juta penduduk, harusnya jumlah data user BPJS tidak sebanyak itu. Artinya bisa klaim pelaku berlebihan atau bohong, bila benar data BPJS Kesehatan," ujarnya.

Karena hingga Mei 2021 Kepala Humas BPJS Kesehatan M Iqbal Anas Ma'ruf mengatakan bahwa jumlah peserta BPJS Kesehatan adalah 222,4 juta jiwa. 

Tanggapan BPJS-Kesehatan

Saat ini, pihaknya sedang melakukan penelusuran untuk memastikan apakah benar data tersebut berasal dari BPJS Kesehatan.

"Kami sudah mengerahkan tim khusus untuk sesegera mungkin melacak dan menemukan sumbernya," kata Iqbal.

Dia mengatakan, saat ini BPJS Kesehatan sudah mengerahkan tim khusus untuk melacak dan menemukan sumbernya.

“Namun, perlu kami tegaskan bahwa BPJS Kesehatan konsisten memastikan keamanan data peserta BPJS Kesehatan dilindungi sebaik-baiknya,” ujar dia.

Baca juga : #ClusterInternetSehat, Kenali Bahaya Siber

Iqbal menyebutkan, dengan big data kompleks yang tersimpan di server BPJS, BPJS Kesehatan memiliki sistem pengamanan data yang ketat dan berlapis. Hal ini bagian dari upaya untuk menjamin kerahasiaan data tersebut termasuk di dalamnya data peserta JKN-KIS.

Kementerian Komunikasi dan Informatika (Kominfo) sendiri belum bisa memastikan kebenaran dari peretasan ini.

Dedy Permadi Juru Bicara Kementerian Kominfo mengungkap akan menginformasikan lebih lanjut mengenai peretasan yang terjadi.

“Kementerian Kominfo sedang melakukan pendalaman atas dugaan kebocoran data tersebut. Saat ini belum bisa disimpulkan apakah data di Raid Forums itu benar kumpulan NIK KTP, BPJS, dan lain-lain, Nanti perkembangannya akan diinformasikan lebih lanjut," ujarnya.

• Editor: Nur Shinta Dewi