Data BPJS Kesehatan Bocor, Cek Apakah Anda Terdampak?

KOMPAS.com - Komunitas Ethical Hacker Indonesia membuat sebuah situs web yang bisa digunakan untuk mengecek apakah data BPJS Kesehatan pengguna termasuk dalam 1 juta data yang bocor ke publik atau tidak.

Laman pengecekan tersebut bisa diakses di alamat https://periksadata.com/bpjs dan dikuak pertama kalinya oleh pendiri Komunitas Ethical Hacker Indonesia, Teguh Aprianto di Twitter.

Soal kebocoran data @BPJSKesehatanRI, untuk cek apakah data pribadi kamu ikut bocor, bisa cek di https://t.co/OMZ36XnK46 menggunakan nomor anggota BPJS milik kamu.

Saat ini data yang tersedia hanya sampel yang diberikan oleh pelaku sebanyak 1 juta data. Semoga membantu.

— Teguh Aprianto (@secgron) May 23, 2021

Pada situs web itu, masyarakat Indonesia yang terdaftar di BPJS Kesehatan bisa memasukkan nomor keanggotaannya masing-masing.

Apabila data mereka tidak termasuk dalam 1 juta data pengguna BPJS Kesehatan yang dibocorkan oleh akun bernama "Kotz" secara gratis di Raid Forums beberapa waktu lalu, maka akan muncul laman "Wah Selamat!" sebagaimana ilustrasi berikut.

KOMPAS.com/Bill Clinten Ilustrasi situs web Periksadata.com yang bisa mengecek kebocoran data BPJS Kesehatan

Namun, apabila nomor anggota BPJS Kesehatan yang diinput termasuk dalam data 1 juta tadi, maka situs web tersebut akan menampilkan halaman yang bertuliskan "Yah data kamu bocor :(", sebagaimana ilustrasi yang diunggah Teguh di twit di tautan berikut.

Yang perlu dicatat, jika laman web ini menampilkan data BPJS Kesehatan Anda aman tetapi tidak menutup kemungkinan data Anda ikut bocor. Karena sang penjual data tersebut mengklaim memiliki data 279 juta penduduk Indonesia.

"Saat ini data yang tersedia hanya sampel yang diberikan (secara gratis) oleh pelaku (Kotz) sebanyak 1 juta data," tutur Teguh.

"Walaupun data kamu tidak ada di sampel yg diberikan oleh pelaku, kemungkinannya sangat besar data kamu ikut bocor bersamaan dengan 279 juta orang lainnya," imbuh Teguh.

Teguh mengklaim bahwa nomor keanggotaan BPJS Kesehatan yang diinput oleh pengguna di situs web periksadata.com ini tidak disimpan di dalam server dan hanya digunakan untuk pengecekan semata.

Baca juga: Kronologi Kasus Kebocoran Data WNI, Dijual 0,15 Bitcoin hingga Pemanggilan Direksi BPJS

Bocor di Raid Forums

Sebelumnya dilaporkan data 279 juta penduduk di Indonesia dijual di forum online Raid Forums oleh akun bernama Kotz.

Adapun data yang dijual berisi nomor kartu (noka), NIK, nomor ponsel, e-mail, alamat, dan gaji. Data tersebut termasuk data penduduk yang telah meninggal dunia.

Untuk memastikan data tersebut valid, Kotz membagikan 1 juta sampel data yang bisa diunduh secara bebas oleh pengguna.

Kementerian Komunikasi dan Informatika telah mendalami kasus ini dan menemukan bahwa sampel data identik dengan data milik BPJS Kesehatan.

"Hal tersebut didasarkan pada struktur data yang terdiri dari Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status Pembayaran yang identik dengan data BPJS Kesehatan," kata Johnny kepada KompasTekno.

Baca juga: Apa Itu Raidforums, Situs yang Mengungkap Kebocoran Data Pengguna Tokopedia?

Kominfo kemudian memanggil direksi BPJS Kesehatan sesuai amanat Peraturan Pemerintah Nomor 71 Tahun 2019. Pemanggilan juga didasarkan pada Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Selain itu, Kominfo juga telah memblokir akun "Kotz" yang menjual data 279 juta warga negara Indonesia serta situs forum online Raid Forums karena dinilai memuat konten yang melanggar perundang-undangan di Indonesia.

Baca juga: Kominfo Blokir Raid Forums Pasca-kebocoran Diduga Data 279 Juta Warga RI

BPJS Kesehatan mengakui

Pihak BPJS Kesehatan sendiri baru-baru ini mengakui adanya kemungkinan peretasan yang membuat data 279 juta penduduk di Indonesia bocor dan dijual di dunia maya.

Direktur Utama BPJS Kesehatan Ali Ghufron mengatakan peretasan masih bisa ditembus meskipun sistem keamanan yang digunakan diklaim telah sesuai standar (ISO 27001) dan berlapis.

BPJS Kesehatan juga mengklaim telah menjalankan Security Operation Center (SOC) yang bekerja selama 24 jam dalam 7 hari untuk mengamati hal-hal yang mencurigakan.

Meski demikian, kemungkinan peretasan yang berujung pada kebocoran data itu tetap ada. Menurut Ali, BPJS Kesehatan saat ini sedang investigasi dan penelusuran jejak digital terkait dugaan tersebut.

"Kami juga sedang melakukan mitigasi terhadap hal-hal yang mengganggu keamanan data dalam proses pelayanan dan administrasi," tutur Ali, sebagaimana dihimpun KompasTekno dari tayangan KompasTV, Selasa (25/5/2021).

Baca juga: BPJS Kesehatan Akui Ada Kemungkinan Peretasan Data 279 Juta Warga RI