Pengamat: Masyarakat Jangan Disalahkan soal Kebocoran Data 1,3 Miliar Nomor HP

Meski di sisi lain, sejumlah peneliti dan praktisi keamanan siber sudah menyebutkan data yang dibagikan dan dijual di forum online itu valid berdasarkan pengecekan acak (random), sebagaimana diwartakan sebelumnya.

Adapun 1,3 miliar data kartu SIM terdiri dari beberapa jenis data pelanggan, seperti data nomor telepon, nomor KTP (NIK), informasi nama operator seluler, serta tanggal registrasi nomor telepon.

Yang paling baru, pada Minggu (4/9/2022), Menteri Kominfo, Johnny G. Plate meminta masyarakat berhati-hati dalam menggunakan nomor induk kependudukan atau NIK untuk mencegah kebocoran data pribadi.

Hal ini secara tersirat, kebocoran data ini terjadi seolah-olah karena masyarakat tidak berhati-hati menggunakan nomor KTP-nya.

Jangan salahkan masyarakat

Praktisi keamanan siber dari Vaksincom, Alfons Tanujaya angkat bicara terkait masalah ini. Menurut Alfons, kasus 1,3 miliar data kartu SIM yang bocor pekan lalu bukan salah masyarakat.

Alasannya, kata Alfons, data yang bocor dan dijual online itu jumlahnya sangat besar, yakni berukuran 18 GB (Compressed) atau 87 GB (Uncompressed).

Menurut Alfons, data sebesar itu pasti berasal dari server atau pusat penyimpanan data, bukan dari perorangan. Ia sebelumnya menduga bahwa data tersebut kemungkinan besar berasal dari registrasi kartu SIM prabayar.

"Dalam kasus kebocoran data pendaftaran kartu SIM ini, sudah jelas bukan salah masyarakat. Karena datanya dalam bentuk gelondongan, bergiga-giga. Jadi rasanya kurang bijak kalau kominfo secara tidak langsung menyalahkan masyarakat," kata Alfons saat dihubungi KompasTekno, Senin (5/9/2022).

Alfons menduga, kebocoran data 1,3 miliar nomor HP beserta nomor KTP itu disebabkan karena pihak pengelola data registrasi kartu SIM prabayar, entah itu pihak dari operator seluler, pihak Kominfo, atau instansi pemerintah lainnya, tidak mengamankan data dengan baik.

"Sehingga datanya bocor. Nah, dari insiden ini yang paling dirugikan adalah masyarakat. Kalau memang masyarakat sudah menjadi korban dari kebocorna data, jangan seakan-akan masyarakat yang salah juga mengamankan datanya," kata Alfons.

Terpaksa berikan NIK

Senada dengan Alfons, peneliti keamanan siber independen yang juga seorang bug hunter (pemburu celah keamanan internet) Afif Hidayatullah juga mengungkapkan hal serupa.

Afif sendiri mengaku belum mengetahui dari mana sumber kebocoran sata ini. Namun, bila benar sumber kebocoran data 1,3 miliar data kartu SIM ini adalah dari server stakeholder, maka kebocoran data ini bukan salah masyarakat yang tidak bisa menjadi NIK atau data pribadinya dengan hati-hati.

Sebab, NIK yang bocor itu diyakini berasal dari kewajiban registrasi kartu SIM Prabayar yang mulai diberlakukan sejak Oktober 2017.

Dalam melakukan registrasi maupun daftar ulang kartu SIM Prabayar, seluruh pengguna seluler di Indonesia wajib mengirimkan Nomor Induk Kependudukan (NIK) dan Nomor Kartu Keluarga (KK) lewat jalur SMS khusus ke nomor 4444.

Bila tidak melakukan registrasi atau daftar ulang, nomor HP pengguna bakal diblokir dan tak bisa lagi digunakan. Dengan begitu, menurut Afif, mau tidak mau, masyarakat harus mendaftarkan NIK, KK, dan nomor HP-nya kepada pemerintah.

"Pemerintah yang buat aturan untuk registrasi menggunakan informasi sensitif kita (nomor KK, nomor KTP) dan mereka juga seharusnya yang memastikan data kita aman," kata Afif melalui pesan singkat kepada KompasTekno, Senin (5/9/2022).

Kalau data yang disetorkan tersebut bocor, menurut Afif, maka masyarakat hanya bisa pasrah.

"Iya (hanya bisa pasrah) karena kita juga gak mungkin melakukan perubahan nik, bukan? Karena itu sudah sesuai KK. Sekarang ada berapa juta pendudukan yang nomornya bocor? Dan tidak mungkin semuanya di rubah NIK-nya bukan?" pungkas Afif.

Alfons juga mengatakan bahwa masyarakat tidak bisa melakukan apa-apa bila data pribadi yang disetorkan untuk registrasi kartu SIM tersebut bocor.

Namun, Alfons menyarankan agar masyarakat selalu menjaga data pribadinya dengan mengaktifkan otentikasi dua faktor (Two Factor Authentication/2FA), menggunakan password manager, menggunakan aplikasi pengidentifikasi nomor telepon macam TrueCaller, serta tidak memberikan KTP ke sembarangan orang. 

Setelah dilakukan analisis dan cek silang, beberapa data dari sampel tersebut valid. Alfons pun meyakini bahwa data 1,3 miliar kartu SIM yang bocor dan dijual itu juga valid.

Pasalnya, dari sampel data tersebut, Alfons mengaku menemukan bahwa ad NIK yang didaftarkan untuk puluhan, ratusan, bahkan ribuan kartu SIM. Padahal aturannya, satu NIK hanya bisa digunakan untuk mendaftarkan maksimal tiga kartu SIM alias tiga nomor HP.

Saat ini, total penduduk Indonesia jumlahnya hanya mencapai sekitar 275,77 juta jiwa. Bila setiap orang memiliki tiga kartu SIM, maka jumlah kartu SIM yang beredar hanya tiga kali lipat dari total populasi di Indonesia.

Namun, Alfons menjelaskan, data yang bocor melibatkan 1,3 miliar data kartu SIM. Berarti, kartu SIM yang beredar di Indonesia sekitar empat hingga lima kali lipat lebih banyak. Tak mengherankan bila ada satu NIK yang didaftarkan pada ratusan bahkan ada yang didaftarkan pada 1.368 SIM Card. 

"(Menurut analisis dari sampel data) Ada 1 NIK yg didaftarkan 1.368 SIM card pada tanggal 2018.02.24 dan 2018.02.28," kata Alfons.

Alfons mengatakan, kebocoran data ini memperlihatkan bagaimana standar pengelolaan data di instansi pemerintah yang masih belum baik. Jadi, seharusnya, pihak berwenang menerapkan standar pengelolaan data yang ketat.

"Mereka tahu kok ada sertifikasi ISO 27001 sebagai standar internasional dalam menerapkan sistem manajemen keamanan informasi. Masalahnya, apakah dijalankan dengan serius atau tidak? 'mengetahui' beda dengan 'menjalankan',"kata Alfons.

Bila insiden kebocoran 1,3 miliar data kartu SIM, maka pihak-pihak yang berwenang mengelola data tersebut tidak menjalankan dengan baik.

"Mereka cuman mendapatkan sertifikasi ISO 27001 itu ibaratnya seperti orang 'membeli' ijazah. Dia pikir sertifikasi ISO itu bikin sistem dia aman, ya tidak. Yang bikin aman itu adalah prosesnya," kata Alfons.

Dengan menerapkan ISO 27001, perusahaan atau instansi perlu melakukan pengelolaan dan pengendalian sistem keamanan informasi atau data yang mencakup kerahasiaan, integritas dan ketersediaan informasi dan untuk mengelola, serta mengendalikan risiko keamanan informasi pada organisasi atau perusahaan.

Alfons juga menilai bahwa pemerintah perlu segera mengesahkan Undang-Undang Perlindungan Data Pribadi (UU PDP).

"Saya harapkan (kehadiran UU PDP nantinya) bisa menekan (kasus kebocoran data di Indonesia)," kata Alfons.

Dengan UU PDP, Alfons berharap pengelola data bisa sadar akan pentingnya keamanan data masyarakat. Kalau sampai lalai dan terjadi kebocoran data, negara bisa meminta pertanggung jawaban dari pengambil keputusan dari suatu perusahaan atau instansi.