Diminta Kominfo Jangan Bobol Data Lagi, Hacker Bjorka Malah Jual 105 Juta Data KPU

Dirjen Aptika Kominfo Minta Hacker Jangan Menyerang Peretas breached.to menjawab 'Stop Being an Idiot'

Sebanyak 105 juta item data yang diklaim berasal dari Komisi Pemilihan Umum (KPU) Indonesia, dijual secara online di forum jual beli ilegal breached.to. Penjualnya adalah akun Bjorka yang juga menjual 1,3 miliar item data registrasi SIM card prabayar berbagai operator seluler Indonesia. KPU telah membantah data ini dicuri dari basis data mereka, sementara peneliti keamanan siber partikelir meyakini data ini valid usai melakukan cek acak.

Kabar ini sebenarnya buruk buat WNI. Tapi karena orang Indonesia terkenal bisa menertawakan apa pun, mari garis bawahi sisi humor kebocoran data terbaru ini. Bjorka mulai menawarkan data KPU pada Selasa (6/9). Well, sehari sebelumnya (5/9), Kominfo lewat Dirjen Aptika Semuel Abrijani Pangerapan mengimbau agar para hacker tidak mencuri data masyarakat Indonesia.

Videos by VICE

“Kalau bisa jangan nyerah lah, orang itu perbuatan illegal access kok,” kata Semuel, dalam konferensi pers tentang kebocoran data SIM card di Kantor Kominfo, Jakarta Pusat.

Imbauan yang jelas mengabaikan kodrat pencuri ini, turut ditambahi pesan lain. Mungkin terbawa kebiasaan sebagai atasan, Semuel juga minta hacker yang ngebet mempermalukan pemerintah Indonesia agar melakukan kejahatan yang lain saja, asal jangan menyebarluaskan data pribadi WNI.

“Kalau mau menyerang, pakai cara yang lain dong. Jangan sampai menyebarkan data masyarakat,” ujar Semmy, panggilan Semuel. Berita berisi pernyataan Semuel ini sukses memancing tawa netizen. Namun gongnya ada di malam hari, ketika netizen mendapati berita itu rupanya dikomentari Bjorka.

Lewat post di Breached, Bjorka ngasih satu kalimat aja buat Kominfo: stop being an idiot. Buset, udah hacker, ableist pula. Post itu kemudian disusul dengan post baru yang menawarkan data KPU tadi, dibanderol seharga US$ 5.000 (setara Rp74,5 juta).

Dalam konferensi pers tersebut, Semuel aslinya sedang menyampaikan perkembangan investigasi kebocoran 1,3 miliar data SIM card. Inti dari jumpa pers itu bahwa tak ada perkembangan apa pun. Kominfo sudah bertemu dengan pihak yang memiliki data registrasi SIM card, yakni operator, Ditjen Dukcapil Kemendagri, Badan Siber dan Sandi Negara, serta Direktorat Pidana Siber Mabes Polri. Hasil pertemuannya? Kominfo mengaku masih belum menemukan sumber kebocoran data. 

Temuan lainnya, 2 juta sampel data yang dibagikan gratis oleh Bjorka bentuknya tidak persis dengan yang dimiliki pemerintah dan operator. Semuel menyebut kecocokan sampel data dengan data asli sebesar 15-20 persen. “Jadi dalam kesimpulan, semua melaporkan tidak sama, tapi ada kemiripan,” ujar Semmy dilansir Tempo. Kominfo kini menggandeng Direktorat Tindak Pidana Siber Bareskrim Polri untuk menelisik potensi pidana dari pihak yang datanya bocor.

Selain belum bisa menemukan sumber kebocoran, hingga kini tak ada permintaan maaf Kominfo sebagai otoritas yang mewajibkan registrasi SIM card (lewat Permenkominfo 12/2016). Permintaan maaf juga tak muncul dari Kemendagri maupun operator seluler. Enggak mengejutkan sih, sebab lewat pencarian arsip cerita, kami tak menemukan ada sejarahnya instansi swasta maupun pemerintah bersedia minta maaf ketika data masyarakat yang disimpannya bocor.

Alih-alih minta maaf, respons Kominfo justru tak bertanggung jawab, inkompeten, dan akibatnya: dijadikan olok-olok oleh publik. Contohnya pernyataan Menkominfo Johnny Gerard Plate pada Sabtu pekan lalu (3/9). Jelas-jelas data yang bocor adalah data warga yang diserahkan ke negara karena ada aturan dari Kominfo, solusi Johnny justru minta warga menjaga data mereka masing-masing. Ia juga menyuruh warga untuk selalu mengganti one time password.

One time password itu harus selalu kita ganti sehingga kita bisa menjaga agar data kita tidak diterobos,” demikian ucapan Johnny yang bikin tepok jidat, dilansir Tempo. Tambahan lain, pria yang terkenal karena kutipannya “kalau pemerintah bilang hoax ya hoax” ini juga mengimbau publik agar tak menyalah-nyalahkan, melainkan fokus mencari penyebab kebocorannya.

Terbaru, ketika ditanya tanggapannya tentang kebocoran data KPU, Johnny memilih irit bicara. “Terkait serangan siber sebaiknya ditanyakan ke Badan Siber dan Sandi Negara atau BSSN sebagai leading sector teknis siber,” kata Johnny kepada Tempo.

Setidaknya 7 kasus kebocoran data di Indonesia diketahui dari forum jual beli breached.to sejak akhir Agustus lalu. Sebanyak 5 kebocoran yang pertama diketahui meliputi data pelanggan PLN, browser history pelanggan IndiHome, data agen BIN, data Polri, dan data milik Universitas Pendidikan Indonesia (UPI) Bandung. Menyusul kebocoran data pegawai Kementerian Hukum dan HAM (Kemenkumham) dan data pemilih KPU. 

Dalam semua kasus tersebut, tak satu pun pihak menjelaskan dengan tegas benar-tidaknya terjadi kebocoran data, sumber kebocoran, dan menyatakan bentuk pertanggungjawaban.

Yang paling umum terjadi, pihak yang datanya dituding bocor akan memberi respons awal berupa penyanggahan. Misal terkait kebocoran data pegawai ini, Kepala Bagian Humas Kemenkumham Tubagus Erif Faturahman langsung membantahnya.

“Tidak benar web sistem informasi kepegawaian [Simpeg] Kemenkumham itu diretas. Sampai sekarang sistem dan data aman,” ujar Tubagus kepada Kompas, 28 Agustus kemarin. Sanggahan ini kemudian disanggah lagi oleh hacker WaterAndCoffee yang meretas data tersebut. Si hacker menunjukkan bahwa datanya valid dengan mengumbar data pribadi Tubagus Erif di forum.

Rentetan kebocoran data masif yang diketahui sejak akhir Agustus lalu menimbulkan pertanyaan awam tentang standar keamanan siber lembaga pemerintah, BUMN, dan swasta pengelola data publik. Emang seberapa aman? Kalau ditanyain ke hacker asal Eropa yang diwawancarai The Jakarta Post, jawaban doi ya menyedihkan.

“Keamanan siber di Indonesia bener-bener parah, kayak dikerjain anak umur 14 tahun,” kata hacker dengan nama samaran Xerxes itu, 21 tahun, kepada The Jakarta Post.

Waktu kami mewawancarai Kepala Divisi Akses Internet SAFEnet Unggul Sagena, Agustus kemarin, ia mengatakan rangkaian pembobolan data ini nunjukin betapa gentingnya pengesahan RUU Perlindungan Data Pribadi (PDP). RUU ini mangkrak karena pemerintah ngotot pengawasan data kudu di bawah wewenang Kominfo, yang mana ditolak aktivis. 

“Tak ada alasan agar otoritas data pribadi [dipaksa] menjadi ranah pemerintah sebagaimana yang terus dipaksakan oleh pemerintah. Masalahnya sudah demikian simpel, [pemerintah] tinggal legawa dan membentuk lembaga pengawas data pribadi yang independen dan transparan sehingga bisa melakukan tugasnya,” kata Unggul kepada VICE saat itu.

Balik ke Pak Semmy idola kita, di konpers yang jadi ramai karena komentarnya “hacker jangan mencuri” itu, doi juga sempat curhat lho. Doi bilang kurang lebih gini: Kenapa sih masyarakat kok menjadikan hacker-hacker ini seolah pahlawan? Padahal yang dicuri adalah datanya masyarakat lho. Kepada para pembaca VICE, silakan kalau ada yang mau menjawab.