Kronologi Kasus Kebocoran Data WNI, Dijual 0,15 Bitcoin hingga Pemanggilan Direksi BPJS

KOMPAS.com - Kasus kebocoran data kembali terjadi di Indonesia. Kali ini, jumlahnya tidak main-main. Diduga, data milik 279 juta penduduk di Indonesia bocor dan dijual di forum online Raid Forums.

Penjual merupakan anggota forum online Raid Forums dengan nama akun "Kotz".

Di dalam deskripsinya, penjual mengatakan bahwa data tersebut berisi NIK, nomor ponsel, e-mail, alamat, dan gaji. Data tersebut termasuk data penduduk yang telah meninggal dunia.

Dari data 279 juta orang tersebut, 20 juta di antaranya disebut memuat foto pribadi. Adapun data tersebut dijual dengan harga 0,15 bitcoin yang jikwa dikonversi ke rupiah sekitar Rp 81,6 juta ketika berita ini ditulis.

Untuk meyakinkan calon pembeli, penjual turut menyertakan tiga tautan berisi sampel data yang bisa diunduh secara gratis.

Baca juga: Diduga Data 279 Juta Penduduk Indonesia Dijual Online, Termasuk Info Gaji

Diduga data BPJS Kesehatan

Kasus ini dengan cepat menyebar di media sosial Twitter. Salah seorang pengguna Twitter dengan handle @Br_AM pun mencoba menanyai penjual dari mana dataset itu didapatkan.

Dalam sebuah tangkapan layar percakapannya dengan penjual, disebutkan bahwa ratusan juta data itu diambil dari situs resmi Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan di alamat bpjs-kesehatan.go.id.

Min @BPJSKesehatanRI ada tanggapan? https://t.co/DP5yUNMbZf

— Mas Adem (@ndagels) May 20, 2021

Tanggapan BPJS

Menanggapi tudingan tersebut, Kepala Humas BPJS, M.Iqbal Ma'ruf mengatakan bahwa sampai  Mei 2021, jumlah peserta BPJS Kesehatan mencapai 222,4 juta jiwa. Angka yang lebih sedikit dibanding data yang diklaim oleh penjual data.

Pihak BPJS pun melakukan penelusuran dan memastikan apakah benar data yang bocor berasal dari BPJS Kesehatan.

"Kami sudah mengerahkan tim khusus untuk sesegera mungkin melacak dan menemukan sumbernya," kata Iqbal ketika dihubungi Kompas.com.

Sampel data identik, Kominfo panggil BPJS

Kementerian Komunikasi dan Informatika (Kominfo) turun tangan dalam kasus kebocoran data ini. Menteri Kominfo, Johnny G Plate, mengatakan bahwa setelah pihaknya mendalami data tersebut, ditemukan bahwa sampel data diduga kuat identik dengan data milik BPJS Kesehatan.

"Hal tersebut didasarkan pada struktur data yang terdiri dari Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status Pembayaran yang identik dengan data BPJS Kesehatan," kata Johnny kepada KompasTekno, Jumat (21/5/2021).

Baca juga: Hacker Klaim Miliki Data 200 Juta Warga Indonesia dari Situs KPU

Setelah temuan itu, Kominfo memanggil Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor, sesuai amanat Peraturan Pemerintah Nomor 71 Tahun 2019. Pemanggilan juga didasarkan pada Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Dalam aturan tersebut, Penyelenggara Sistem Elektronik (PSE) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi, wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain.

PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, apabila diketahui bahwa terjadi kegagalan perlindungan data pribadi.

Baca juga: Disebut Sebagai Sumber Kebocoran Data 279 Juta Penduduk Indonesia, Ini Kata BPJS

Tautan unduhan diblokir

Selain memanggil Direksi BPJS Kesehatan, Kominfo juga melakukan langkah antisipatif lain dengan mengajukan pemblokiran tiga tautan sampel data yang dicantumkan penjual di situs Raid Forums.

Adapun tiga tautan tersebut adalah bayfiles.com, mega.nz, dan anonfiles.com. Situs Raid Forums memang merupakan surface web yang bisa diakses siapa saja dengan mudah karena bukan merupakan situs gelap atau rahasia (deep web).

Dengan pemutusan akses ke tautan tersebut, peluang penyebaran data yang lebih luas bisa diminimalisir.

Investigasi ulang

Setelah bertemu dengan Direksi BPJS Kesehatan, Menkominfo meminta agar mereka bisa segera memeriksa dan menguji ulang ratusan juta data yang diduga bocor.

Pihak BPJS Kesehatan juga diimbau untuk melakukan langkah-langkah pengamanan, guna memitigasi risiko kebocoran data pribadi yang lebih luas.

Baca juga: Ini Hasil Pertemuan Kominfo dengan BPJS Kesehatan Terkait Kebocoran Data

"Investigasi yang dilakukan oleh tim internal BPJS akan selalu dikoordinasikan dengan Kementerian Kominfo dan BSSN," tutur Johnny dalam keterangan tertulis kepada KompasTekno, Jumat (21/5/2021) malam.

Baca juga: 7 Kasus Kebocoran Data yang Terjadi Sepanjang 2020