Data 163.000 Pelamar Kerja Bocor di Internet, Diduga Milik Anak Perusahaan Pertamina

Adapun sosok yang membocorkan data ini merupakan anggota forum online Raid Forums dengan nama akun "Astarte". Dia adalah pemilik akun yang sama dengan penjual data enam juta pasien yang diklaim berasal dari server pusat milik Kementerian Kesehatan (Kemenkes) RI, 6 Januari lalu.

Namun, kali ini, data ratusan ribu pelamar kerja yang diduga berasal dari website PTC Pertamina itu tidak dijual, namun dibagikan secara cuma-cuma alias gratis.

Dalam deskripsi yang disertakan, pembocor menyebutkan bahwa total data yang dibagikan berjumlah 163.181 file dengan ukuran data mencapai 60 GB.

Pantauan KompasTekno di situs Raid Forums, Astarte memecah data berukuran 60 GB tersebut menjadi 12 tautan. Lewat tautan itulah data pribadi yang dicuri bisa diunduh secara gratis.

Astarte juga terlihat memberikan tautan yang menampilkan sampel data pelamar yang diduga berasal dari situs PTC Pertamina.

"Sample data berjumlah 163.181 file dengan total 60 GB dibagikan secara gratis, namun saat ini alamat yang digunakan untuk mengunduh sample data sudah kadaluarsa," kata Pratama Persadha, Kepala Lembaga riset siber CISSReC melalui pesan singkat kepada KompasTekno, Selasa (11/1/2022).

Astarte juga terlihat turut menyertakan sebuah foto yang diklaim sebagai isi data ratusan ribu file pelamar yang bocor itu. Pantauan KompasTekno, data tersebut terdiri dari dua format, yaitu foto (JPEG, JPG) dan dokumen PDF.

Saat dihubungi KompasTekno melalui e-mail, Selasa (11/1/2022), Afif menceritakan bahwa ia menelusuri sumber kebocoran data dengan mengunduh file berukuran 60 GB dari situs Raid Forums. Setelah diunduh, kata Afif, ia mencoba melakukan pemeriksaan terhadap file tersebut.

"Dalam pemeriksaan saya menemukan adanya index.php dalam file 163.zip yang di-share oleh Astarte, tidak hanya itu saya juga menemukan file-file lamaran yang menuju PTC Pertamina," jelas Afif.

Index.php sendiri adalah kerangka situs web yang berfungsi menampilkan halaman utama suatu situs web saat pertama kali dibuka oleh pengguna di browser. 

"Saya bisa asumsikan attacker men-download seluruh file lamaran itu, tanpa tahu file yang di-download disertai file dari website tersebut (index.php), kata Afif.

Selain itu, Afif juga menemukan bukti lain yang mengindikasikan dugaan kebocoran data berasal dari situs PTC Pertamina.

Bukti tersebut adalah sejumlah dokumen permohonan kerja yang ditujukan kepada PT Pertamina Training & Consulting.

Dokumen itu ditemukan dalam 60 GB data yang diunduh Afif dari tautan yang disediakan Astarte.

Dalam dokumen permohonan kerja tersebut, terdapat rincian identitas dari pelamar.

Mulai dari nama lengkap, alamat, tempat dan tanggal lahir, gelar, hingga agama dan nomor ponsel.

Saat KompasTekno mencoba melacak nomor ponsel menggunakan aplikasi pelacak nomor Get Contact, ternyata nomor ponsel tersebut mengarah pada nama pemilik yang sama dengan nama pelamar.

Rincian data yang bocor

Dalam postingannya, Astarte merinci, data pelamar kerja yang bocor meliputi data kartu tanda penduduk (KTP), kartu keluarga (KK), kartu peserta Badan Penyelenggara Jaminan Sosial (BPJS), ijazah sekolah (SMA, D3, atau S1), transkrip akademik, dan lainnya.

Dari pemeriksaan mandiri yang dilakukan oleh Afif, data pelamar yang ikut bocor termasuk surat lamaran, sertifikat keahlian, NPWP, SKCK, foto, CV, SIM, surat keterangan sehat, hingga surat bebas Covid-19.

Menurut Afif, data yang dia temukan ini cocok dengan ketentuan rekrutmen di situs PTC Pertamina, seperti gambar di bawah ini.

KompasTekno sudah mencoba menghubungi pihak PTC Pertamina untuk meminta tanggapan terkait dugaan kebocoran data ini. Namun hingga berita ini ditulis, pihak PTC belum memberikan jawabannya.

Di samping itu, KompasTekno juga sudah meminta tanggapan kepada pihak Kementerian Komunikasi dan Informatika (Kemkominfo) dan Badan Siber dan Sandi Negara (BSSN) terkait masalah ini, namun juga belum mendapat respons.

Menurut Alfons, melindungi data atau dokumen yang diterima dari pengguna di situs web memang masih menjadi salah satu masalah utama bagi penyelenggara layanan situs web.

"Jika sudah menerima file, dalam hal ini seperti lamaran kerja dan dokumen pendukungnya, maka data tersebut wajib dilindungi dengan baik dan tidak boleh bocor karena akan mengorbankan pemilik data (pelamar)," kata Alfons.

Sebab apabila data yang dikirimkan pengguna ke suatu situs ternyata bocor, maka akan timbul sejumlah risiko bagi pengguna tersebut.

Risiko pertama, dalam kasus ini, bila benar data yang dibagikan Astarte berasal dari situs rekrutmen milik PTC Pertamina, maka, Alfons mengatakan, sekitar 163.000 pelamar itu menjadi rentan untuk menjadi korban penipuan lamaran kerja.

Misalnya, ada oknum yang mengaku menjadi pihak human resources development (HRD) PTC Pertamina, kemudian meminta sejumlah uang dengan iming-iming proses rekrutmen yang lancar.

"Jika pelamar yang datanya ada di dalam database ini mendapatkan WhatsApp yang berpura-pura sebagai HRD Pertamina dan mengelabuinya untuk mengiirmkan uang dengan dalih uang pendaftaran atau proses lanjutan. Besar kemungkinan korban akan terperdaya dan menjadi korbannya," kata Alfons.

Risiko kedua, menurut Alfons, dugaan kebocoran data ini juga disebut berisi informasi berharga lainnya milik ratusan ribu pelamar, seperti KTP dan KK. Menurut Alfons, ini bisa membuat pelamar menjadi korban kejahatan lainnya.

"Misalnya, data dengan mudah dikumpulkan dan digunakan untuk kegiatan jahat seperti membuka rekening bank bodong (setelah membuat KTP asli tapi palsu)," kata Alfons.

Di samping itu, lanjut Alfons, penjahat juga bisa menggunakan data kependudukan seperti NIK dan data lainnya untuk mendaftarkan kartu prabayar. Kemudian kartu prabayar itu digunakan untuk aktivitas jahat dan mengganggu atas nama pengguna.