Melihat Respons KPU Usai Datanya Diretas, Isu Privasi Jelas Tak Dianggap Penting

Data pemilih KPU diretas, 2,3 juta data warga Indonesia diambil hacker

Baru awal Mei lalu tersiar kabar jutaan data pengguna Tokopedia diretas, kini muncul lagi berita peretas yang mengklaim telah membobol 2,3 juta data warga Indonesia dari Komisi Pemilihan Umum (KPU). Informasi itu muncul dari akun Twitter @underthebreach, yang sebelumnya juga membocorkan informasi soal peretasan Tokopedia.

Under the Breach, sebuah layanan untuk memonitor peretasan data dan kejahatan siber yang menurut lokasi akunnya berasal dari Israel, pada Kamis 21 Mei mencuit bahwa data seperti nama, alamat, nomor KTP, tanggal lahir, dan sebagainya telah dibobol. Akun tersebut juga mencuit bahwa sang aktor mengancam akan membocorkan 200 juta data pengguna dalam waktu dekat di dark web.

Videos by VICE

https://twitter.com/underthebreach/status/1263477429458350086

Dalam tangkapan layar yang diunggah @underthebreach, sang aktor peretas menulis bahwa data tersebut “sangat berguna bagi yang ingin membuat nomor telepon (Anda memerlukan NIK dan NKK untuk registrasi), atau untuk ambil data nomor telepon dari Indonesia” sembari mengklaim bahwa data tersebut didapat dalam format PDF dan didapat dari KPU.

Sementara itu Komisioner KPU, Viryan Aziz, kepada Kompas.com membenarkan kesahihan DPT tersebut. Namun, pihaknya berkelit bahwa data tersebut bersifat terbuka untuk memenuhi kebutuhan publik dan sudah sesuai dengan regulasi.

“Data tersebut adalah softfile DPT Pemilu 2014. Softfile data KPU itu berbentuk format PDF dan dikeluarkan sesuai regulasi untuk memenuhi kebutuhan publik bersifat terbuka,” jelas Viryan.

Alih-alih melacak bagaimana data tersebut bisa bocor dan muncul di dark web, KPU justru berniat mempolisikan akun @underthebreach atas tuduhan penyalahgunaan data pemilih. Sebab akun tersebut juga mengunggah contoh tampilan DPT Pemilu 2014 di Yogyakarta.

“KPU tetap memproses upaya penyalahgunaan data pemilih tersebut secara hukum, meskipun data tersebut tidak didapatkan langsung dari KPU,” kata komisioner KPU Pramono Ubaid Thantowi dilansir Okezone.com.

Pramono melanjutkan, saat ini KPU telah berkoordinasi dengan Divisi Cyber Crime Mabes Polri, Badan Siber dan Sandi Negara (BSSN) dan Kemenkominfo untuk mengetahui secara pasti bagaimana data pemilih Pemilu 2014 tersebut diperoleh, dan bagaimana mencegah penyalahgunaan data tersebut.

“Data yang ditampilkan pada akun twitter tersebut adalah data lama (November 2013) dengan format pdf dan format ini sama dengan yang KPU berikan kepada pihak eksternal (stakeholder),” kata Pramono.

Pengelola akun Under The Breach, dalam konfirmasi pada VICE, mengklaim bila KPU sudah sempat menyebut kalau data yang mereka dapat itu statusnya terbuka untuk diakses publik. Justru mengherankan ketika kini KPU menganggap penampilan data ini termasuk penyalahgunaan. “Sebelum kasus ini terkuak, data yang dimaksud KPU masih tersedia di web archive,” kata admin. “Makanya, menurut kami pernyataan KPU justru menjadi defamasi bagi [Under The Breach] yang pertama kali melaporkan adanya pencurian data tersebut.”

Di Indonesia, persoalan keamanan data memang masih disepelekan. Saat sedikitnya 15 juta data pengguna Tokopedia dijebol peretas, pihak manajemen Tokopedia terkesan santai menanggapi dengan mengatakan bahwa “meskipun password dan infomasi krusial pengguna tetap terlindungi di balik enkripsi, kami menganjurkan pengguna Tokopedia untuk tetap mengganti password akunnya secara berkala demi keamanan dan kenyamanan,” kata Vice President of Corporate Communications Tokopedia Nuraini Razak kepada Kumparan.

Masalahnya tentu bukan cuma ada di soal keamanan password. Data pengguna yang meliputi email dan nomor telepon saja sudah cukup bagi pihak manapun untuk melakukan spamming atau phishing. Maka jangan heran jika banyak pesan spam berisi berbagai macam penawaran masuk ke inbox email atau handphone.

Laksana Budiwiyono, country manager perusahaan keamanan IT Trend Micro, kepada awak media mengatakan data pribadi bisa digunakan untuk mengirim pesan-pesan marketing, email-email spam, dan memungkinkan peretas untuk membobol password.

”Seperti misalnya bank kadang suka menanyakan persamaan data. Ada kemungkinan bisa dipakai seperti itu. Jadi tanpa password pun, informasi pribadi kita sebaiknya tidak dibiarkan diketahui oleh pihak yang tidak berhak,” ujar Laksana.

Terlebih, ini juga bukan kali pertama pemerintah terkesan menyepelekan keamanan data. Pada Juli 2019, anggota Ombudsman RI Alvin Lie mengatakan selama enam tahun pemerintah telah memberikan akses kepada swasta untuk mengelola data kependudukan – sebuah kebijakan yang kemudian menuai protes banyak pihak. Per 2019, sudah ada 1.227 lembaga yang bekerja sama dengan pemerintah untuk mengakses data kependudukan.

Sejak kasus Cambridge Analytica mencuat, dan membuat orang makin khawatir terhadap keamanan data, seharusnya pemerintah punya komitmen merahasiakan, alih-alih selalu menyalahkan pihak ketiga.

Sebab jika keamanan data tersebut mumpuni – atau paling tidak memiliki sistem untuk menyelidiki kebocoran – pembobolan jelas tak akan terjadi. Berkaca dari itu, dan dari kasus korupsi E-KTP yang konon bikin data kependudukan orang se-Indonesia disetor ke perusahaan di Amerika, bukan tak mungkin kasus pembobolan KPU dan Tokopedia bakal terus terjadi.