Kompas.com - 21/12/2021, 06:54 WIB

KOMPAS.com - Di era yang serba internet seperti sekarang, serangan siber menjadi momok tersendiri bagi pengguna internet, baik itu pengguna perorangan atau intansi resmi sekalipun.

Di Indonesia, kasus peretasan juga layaknya sebuah tradisi yang terus berulang. Tahun ini, KompasTekno mencatat, setidaknya, ada delapan kasus peretasan yang terjadi di Indonesia sepanjang tahun 2021.

Kasus peretasan ini dialami oleh lembaga pemerintah maupun perusahaan swasta. Beberapa dari kasus tersebut hanya berupa serangan deface alias mengubah tampilan halaman web milik target.

Namun, ada pula kasus peretasan yang akhirnya berujung pada kebocoran data masyarakat Indonesia.

Berikut KompasTkeno rangkuman 8 kasus peretasan yang terjadi di Indonesia sepanjang tahun 2021.

1. Kasus BPJS Kesehatan (Mei 2021)

Seorang petugas sedang membersihkan area Kantor BPJS Ketenagakerjaan/BP Jamsostek. Dok. BPJS Ketenagakerjaan Seorang petugas sedang membersihkan area Kantor BPJS Ketenagakerjaan/BP Jamsostek.
Pada akhir Mei, situs milik Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan, yakni bpjs-kesehatan.go.id diduga diretas.

Buntutnya, data milik 279 juta penduduk Indonesia diduga bocor dan dijual di forum online bernama Raid Forums.

Baca juga: BPJS Kesehatan Akui Ada Kemungkinan Peretasan Data 279 Juta Warga RI

Data yang dijual seharga harga 0,15 bitcoin (sekitar Rp 84,4 juta, kurs 20 Mei 2021) tersebut berisi NIK, nomor ponsel, e-mail, alamat, hingga gaji.

Menurut pendalaman yang dilakukan oleh Kementerian Komunikasi dan Informatika (Kemenkominfo), disimpulkan bahwa sampel dataset tersebut diduga kuat identik dengan data milik BPJS Kesehatan.

Kominfo pun akhirnya mengajukan pemutusan akses terhadap tautan (link) untuk mengunduh data pribadi tersebut, termasuk memblokir Raid Forums sebagai langkah antisipatif mencegah penyebaran data yang lebih luas.

Terkait dugaan kebocoran data ini, BPJS Kesehatan, Kominfo, dan BSSN (Badan Siber dan Sandi Negara), sempat disebut akan digugat lewat Pengadilan Tata Usaha Negara (PTUN) oleh tim Periksa Data.

Salah satu tuntutan dalam gugatan tersebut adalah penggugat (tim Periksa Data) mendorong dilakukannya assessment (penilaian) terhadap dampak kebocoran data dan menyampaikannya ke publik.

2. Kasus Asuransi BRI Life (Juli 2021)

Pada 27 Juli 2021, giliran perusahaan asuransi BRI Life yang jadi korban peretasan. Insiden ini membuat sekitar 2 juta data nasabah BRI Life diduga bocor dan dijual dengan harga 7.000 dollar AS (sekitar Rp 101,6 juta, kurs 27 Juli 2021) di dunia maya.

Kebocoran data ini pertama kali diungkap oleh akun Twitter @UnderTheBreach. Akun tersebut mengklaim bahwa hacker berhasil mengambil 250 GB data dari BRI Life, termasuk data 2 juta nasabah dalam format file PDF dan sekitar 463.000 dokumen lainnya.

Adapun data nasabah yang bocor berisi informasi seperti foto KTP, rekening, nomor wajib pajak, akte kelahiran, hingga rekam medis.

Dugaan kebocoran data ini terjadi karena adanya celah keamanan di dalam sistem elektronik BRI Life, yang disalahgunakan oleh pihak tak bertanggungjawab.

Namun, berdasarkan hasil investigasi internal pihak BRI Life, peretasan menargetkan sistem BRILife Syariah. Menurut pihak BRI Life, sistem tersebut terpisah dengan sistem inti BRILife.

Baca juga: BRI Life Telusuri Dugaan Kebocoran Data 2 Juta Nasabah

Adapun jumlah data yang terdapat di dalam sistem BRILife Syariah, sebesar 25.000 pemegang polis. Hasil ivestigasi internal itu membantah kabar yang beredar di media sosial terkait kebocoran data 2 juta nasabah BRILife.

Menurut pihak BRI Life, kejadian kebocoran data itu tidak akan berimplikasi terhadap data nasabah PT Bank Rakyat Indonesia (Persero) Tbk sebagai perusahaan induk. Data nasabah BRI diklaim aman.

3. Situs Sekretariat Kabinet RI (Juli 2021)

Hanya berselang beberapa hari, situs Sekretariat Kabinet (Setkab) Republik Indonesia (RI) yang beralamat setkab.go.id juga menjadi target serangan peretasan dengan metode deface.

Secara sederhana, metode ini memungkinkan peretas (hacker) mengubah tampilan halaman web target peretasan.

Perubahan tersebut bermacam-macam, seperti mengganti font website, memunculkan iklan yang mengganggu, bahkan peretas juga dapat mengubah tampilan keseluruhan web sasaran.

Pada 30 Juli 2021, situs Setkab.go.id diretas dan tak bisa diakses. Kemudian, situs Setkab berubah tampilan menjadi hitam dengan foto yang menampilkan demonstran membawa bendera merah putih.

Di bawahnya tertulis keterangan "Padang Blackhat ll Anon Illusion Team Pwned By Zyy Ft Luthfifake".

Polisi menduga peretasan ini dilakukan demi keuntungan ekonomi. Peretas bertujuan menjual script backdoor dari website yang jadi target kepada orang yang membutuhkan.

Menurut penyelidikan sementara kepolisian, peretasan situs setkab.go.id terjadi akibat kelemahan pada sistem keamanan dan kelengahan operator.

Lalu, seminggu setelah peretasan, situs Setkab sudah kembali ke tangan pemerintah. Pihak Setkab memastikan tidak ada dokumen rahasia pada situs Setkab. 

4. Kasus e-HAC Kemenkes (Agustus 2021)

Ilustrasi aplikasi e-HAC versi lama.KOMPAS.com/ Galuh Putri Riyanto Ilustrasi aplikasi e-HAC versi lama.
Setelah kasus BPJS Kesehatan, muncul kabar peretasan pada aplikasi Electronic Health Alert (e-HAC) buatan Kementerian Kesehatan (Kemenkes). Buntutnya, data milik 1,3 juta masyarakat Indonesia yang tersimpan di aplikasi e-HAC disebut bocor.

Aplikasi e-HAC sendiri merupakan Kartu Kewaspadaan Kesehatan versi modern dan menjadi salah satu persyaratan wajib bagi masyarakat ketika bepergian di dalam maupun luar negeri.

Kasus kebocoran data e-HAC pertama kali diungkap oleh peneliti keamanan siber dari VPNMentor, yang menemukan kebocoran data di aplikasi e-HAC pada 15 Juli lalu.

VPNMentor mengeklaim, aplikasi e-HAC tidak memiliki protokol keamanan aplikasi yang memadai, sehingga rentan ditembus (di-hack) pihak tidak bertanggung jawab. Pengembang e-HAC disebut menggunakan database Elasticsearch yang kurang aman untuk menyimpan data.

Kasus ini tidak hanya mengungkap data pengguna e-HAC, tetapi juga seluruh infrastruktur terkait e-HAC, seperti data tes Covid-19 yang dilakukan penumpang, data pribadi penumpang, data rumah sakit, hingga data staf e-HAC.

Baca juga: Merunut Kebocoran Data E-HAC Kemenkes, dari Kronologi hingga Hapus Aplikasi

Pihak Kemenkes membenarkan bahwa sumber kebocoran data tersebut berasal dari mitra dan aplikasi e-HAC yang lama. Namun, pemerintah sudah tidak menggunakan aplikasi tersebut sejak 2 Juli 2021.

Setelah 2 Juli, sistem aplikasi e-HAC yang digunakan masyarakat telah terintegrasi di aplikasi PeduliLindungi, yang mana dari aspek infrastruktur dan servernya berbeda dari versi lama sehingga tidak terdampak insiden kebocoran data.

Terkait kebocoran data ini, pihak Kemenkes meminta masyarakat untuk menghapus aplikasi e-HAC versi lama.

5. 10 jaringan kementerian, termasuk BIN (September 2021)

Lalu, pada September 2021, sistem jaringan internal milik sepuluh kementerian dan lembaga negara Indonesia, termasuk milik Badan Intelijen Negara (BIN) dilaporkan telah diretas.

Hal itu mencuat berdasarkan laporan terbaru dari sekelompok peneliti keamanan internet milik media internasional TheRecord, Insikt Group.

Sayangnya, selain BIN, Insikt Group tidak merinci nama dari 9 jaringan kementerian dan lembaga negara Indonesia yang jadi target peretasan tersebut.

Insikt Group hanya mengungkapkan, insiden peretasan itu berhubungan dengan Mustang Panda, kelompok hacker asal China yang biasa melakukan aktivitas mata-mata di dunia maya. Target operasinya sendiri berada di wilayah Asia Tenggara.

Baca juga: Disebut Diserang Hacker China, Server BIN Diklaim Baik-baik Saja

Insikt Group mendeteksi adanya server pengendali perintah (C&C) milik grup Mustang Panda, yang menjalankan malware berjenis PlugX. Server itu berkomunikasi dengan beberapa host yang kemungkinan telah terinfeksi di dalam jaringan internal milik pemerintah Indonesia.

Namun, pihak BIN sendiri sudah membantah laporan peretasan tersebut, dengan mengatakan bahwa server BIN dalam kondisi aman terkendali.

6. Situs Pusmanas milik BSSN (Oktober 2021)

Serangan terhadap situs BSSN tersebut diunggah akun Twitter dengan handle @son1x777.YouTube/ Kompascom Reporter on Location Serangan terhadap situs BSSN tersebut diunggah akun Twitter dengan handle @son1x777.
Selain situs milik Sekretariat Kabinet RI, situs milik Badan Siber dan Sandi Negara (BSSN) juga jadi korban peretasan hacker dengan teknik deface pada Oktober 2021.

Adapun situs milik BSSN yang berhasil dibobol hakcer adalah Pusat Malware Nasional (Pusmanas). Menurut BSSN, situs tersebut berisi data mengenai laporan atau informasi (repositori) malware.

Ketika itu, Pakar keamanan siber Pratama Persadha sebelumnya mengungkapkan, serangan terhadap situs BSSN tersebut diunggah akun Twitter dengan handle @son1x777.

Unggahan tersebut memperlihatkan situs Pusmanas BSSN yang sudah di-hack dengan teknik deface, di mana pada halaman muka situs menampilkan tulisan "Hacked by theMx0nday" (diretas oleh theMx0nday).

Selain itu, di halaman muka yang sama, hacker juga menuliskan bahwa aksi peretasan ini dilakukan untuk membalas pelaku yang diduga dari Indonesia yang telah meretas website negara Brasil.

Terkait insiden ini, BSSN angsung melakukan penanganan setelah situsnya mengalami serangan deface. Penanganan tersebut dilakukan oleh Computer Security Incident Response Team (CSIRT) BSSN.

7. Database Polri (November 2021)

Tangakapan layar memo dari peretas berisi pesan dan data yang diklaim berasal dari sistem database Polri yang dibobol.Twitter/@son1x666 Tangakapan layar memo dari peretas berisi pesan dan data yang diklaim berasal dari sistem database Polri yang dibobol.
Selang satu bulan tepatnya pada November 2021, hacker mengklaim telah membobol database milik Polri. Informasi ini diumbar melalui akun Twitter @son1x666 pada 17 November 2021.

Akun @son1x666 yang mengaku berasal dari Brasil ini adalah "hacker" yang sama yang sebelumnya melakukan aksi peretasan terhadap situs BSSN.

Dalam twitnya, hacker mengatakan ada 28.000 informasi pribadi dan log in yang dicuri. Dia juga mencatumkan tiga tautan berisi sampel data yang diduga berasal dari database Polri.

Baca juga: Hacker Klaim Bobol dan Bocorkan Data Milik Polri

Data tersebut berisi informasi sensitif berupa nama lengkap, tempat tanggal lahir, nomor registrasi pokok, alamat, golongan darah, satuan kerja, suku, alamat e-mail, alamat rumah, pangkat, hingga pelanggaran yang pernah dilakukan oleh anggota.

Ada pula data tentang rehab putusan, rehab putusan sidang, rehab keterangan, id propam, dan beberapa lainnya. Data ini bisa diakses dan diunduh secara bebas.

Terkait masalah ini, pihak Polri sendiri memastikan bahwa data hingga sistem keamanan jaringan internal Polri aman.

8. YouTube BNPB (Desember 2021)

Kanal YouTube BNPB diduga diretas. Nama akun berubah menjadi Ethereum 2.0YouTube/BNPB Kanal YouTube BNPB diduga diretas. Nama akun berubah menjadi Ethereum 2.0
Terakhir, akun YouTube milik Badan Nasional Penanggulangan Bencana (BNPB) juga diretas. Insiden peretasan ini terjadi pada Kamis, (9/12/2021) lalu.

Saat di-hack, akun YouTube BNPB yang semula bernama "BNPB Indonesia" itu terpantau berubah nama menjadi "Ethereum 2.0".

Selain mengubah nama, hacker juga menggunakan akun YouTube BNPB untuk melakukan siaran langsung (live streaming) berjudul "Ethereum CEO: Ethereum Breakout! Ethereum News, ETH 2.0 RELEASE Date".

Baca juga: YouTube BNPB Diduga Diretas, Tayangkan Siaran Langsung Bahas Ethereum

Dalam deskripsi, terdapat sebuah tautan yang mengarah ke akun Twitter dengan handle @AltcoinDailyio. Belum diketahui apakah akun Twitter tersebutlah yang "meretas" akun BNPB Indonesia.

Pihak BNPB mengetahui peretasan ini dan dibantu pihak Google untuk memulihkan akun YouTube BNPB Indonesia. Saat ini, akun tersebut sudah kembali seperti semula dan sudah digunakan kembali oleh BNPB Indonesia.

Dapatkan update berita pilihan dan breaking news setiap hari dari Kompas.com. Mari bergabung di Grup Telegram "Kompas.com News Update", caranya klik link https://t.me/kompascomupdate, kemudian join. Anda harus install aplikasi Telegram terlebih dulu di ponsel.

Baca tentang


Rekomendasi untuk anda
27th

Tulis komentarmu dengan tagar #JernihBerkomentar dan menangkan e-voucher untuk 90 pemenang!

Syarat & Ketentuan
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE
Laporkan Komentar
Terima kasih. Kami sudah menerima laporan Anda. Kami akan menghapus komentar yang bertentangan dengan Panduan Komunitas dan UU ITE.
komentar di artikel lainnya
Close Ads
Verifikasi akun KG Media ID
Verifikasi akun KG Media ID

Periksa kembali dan lengkapi data dirimu.

Data dirimu akan digunakan untuk verifikasi akun ketika kamu membutuhkan bantuan atau ketika ditemukan aktivitas tidak biasa pada akunmu.

Bagikan artikel ini melalui
Oke
Lengkapi Profil
Lengkapi Profil

Segera lengkapi data dirimu untuk ikutan program #JernihBerkomentar.