Baca berita tanpa iklan. Gabung Kompas.com+

Data 163.000 Pelamar Kerja Bocor di Internet, Diduga Milik Anak Perusahaan Pertamina

Kompas.com - 11/01/2022, 18:26 WIB
Galuh Putri Riyanto,
Wahyunanda Kusuma Pertiwi

Tim Redaksi

KOMPAS.com - Dugaan kebocoran data kembali terjadi di Indonesia. Kali ini, data lebih dari 163.000 pelamar kerja PT Pertamina Training & Consulting (PTC) diduga bocor di forum online Raid Forums. PTC sendiri merupakan anak perusahaan Badan Usaha Milik Negara (BUMN), Pertamina.

Adapun sosok yang membocorkan data ini merupakan anggota forum online Raid Forums dengan nama akun "Astarte". Dia adalah pemilik akun yang sama dengan penjual data enam juta pasien yang diklaim berasal dari server pusat milik Kementerian Kesehatan (Kemenkes) RI, 6 Januari lalu.

Namun, kali ini, data ratusan ribu pelamar kerja yang diduga berasal dari website PTC Pertamina itu tidak dijual, namun dibagikan secara cuma-cuma alias gratis.

Baca juga: Data 6 Juta Pasien di Server Kemenkes Diduga Bocor dan Dijual di Internet

Dalam deskripsi yang disertakan, pembocor menyebutkan bahwa total data yang dibagikan berjumlah 163.181 file dengan ukuran data mencapai 60 GB.

Pantauan KompasTekno di situs Raid Forums, Astarte memecah data berukuran 60 GB tersebut menjadi 12 tautan. Lewat tautan itulah data pribadi yang dicuri bisa diunduh secara gratis.

Astarte juga terlihat memberikan tautan yang menampilkan sampel data pelamar yang diduga berasal dari situs PTC Pertamina.

"Sample data berjumlah 163.181 file dengan total 60 GB dibagikan secara gratis, namun saat ini alamat yang digunakan untuk mengunduh sample data sudah kadaluarsa," kata Pratama Persadha, Kepala Lembaga riset siber CISSReC melalui pesan singkat kepada KompasTekno, Selasa (11/1/2022).

Baca juga: Hacker Klaim Bobol dan Bocorkan Data Internal Pertamina

Astarte juga terlihat turut menyertakan sebuah foto yang diklaim sebagai isi data ratusan ribu file pelamar yang bocor itu. Pantauan KompasTekno, data tersebut terdiri dari dua format, yaitu foto (JPEG, JPG) dan dokumen PDF.

Foto bukti data 163.000 pelamar yang disertakan Astarte.RaidForum/ Astarte Foto bukti data 163.000 pelamar yang disertakan Astarte.
Diduga berasal dari situs rekrutmen PTC Pertamina

Dugaan kebocoran data 163.000 pelamar kerja yang diduga dari situs perusahaan PTC Pertamina, diperkuat dengan temuan Afif Hidayatullah, seorang peneliti keamanan siber independen yang juga seorang bug hunter (pemburu lubang keamanan internet).

Saat dihubungi KompasTekno melalui e-mail, Selasa (11/1/2022), Afif menceritakan bahwa ia menelusuri sumber kebocoran data dengan mengunduh file berukuran 60 GB dari situs Raid Forums. Setelah diunduh, kata Afif, ia mencoba melakukan pemeriksaan terhadap file tersebut.

"Dalam pemeriksaan saya menemukan adanya index.php dalam file 163.zip yang di-share oleh Astarte, tidak hanya itu saya juga menemukan file-file lamaran yang menuju PTC Pertamina," jelas Afif.

Data 163.000 pelamar kerja yang dibocorkan Astarte diduga berasal dari situs rekrutmen milik PTC Pertama.dok. Afif Hidayatullah Data 163.000 pelamar kerja yang dibocorkan Astarte diduga berasal dari situs rekrutmen milik PTC Pertama.
Dalam file index.php yang ditemukan Afif di antara deretan ratusan ribu data, tertera nama URL dari situs rekrutmen PTC Petamina, seperti gambar di atas.

Baca juga: Merunut Kebocoran Data E-HAC Kemenkes, dari Kronologi hingga Hapus Aplikasi

Index.php sendiri adalah kerangka situs web yang berfungsi menampilkan halaman utama suatu situs web saat pertama kali dibuka oleh pengguna di browser. 

"Saya bisa asumsikan attacker men-download seluruh file lamaran itu, tanpa tahu file yang di-download disertai file dari website tersebut (index.php), kata Afif.

Contoh surat permohonan kerja yang ikut dibocorkan Astarte.dok. Afif Hidayatullah Contoh surat permohonan kerja yang ikut dibocorkan Astarte.
"Dan file index.php tersebut biasanya akan memunculkan "error" ketika ada orang yang tidak memilik akses pada website mencari suatu file dan tidak menemukannya," lanjut dia.

Selain itu, Afif juga menemukan bukti lain yang mengindikasikan dugaan kebocoran data berasal dari situs PTC Pertamina.

Baca juga: Kebocoran Data Terjadi Lagi, Sampai Mana RUU Perlindungan Data Pribadi?

Bukti tersebut adalah sejumlah dokumen permohonan kerja yang ditujukan kepada PT Pertamina Training & Consulting.

Dokumen itu ditemukan dalam 60 GB data yang diunduh Afif dari tautan yang disediakan Astarte.

Dalam dokumen permohonan kerja tersebut, terdapat rincian identitas dari pelamar.

Mulai dari nama lengkap, alamat, tempat dan tanggal lahir, gelar, hingga agama dan nomor ponsel.

Saat KompasTekno mencoba melacak nomor ponsel menggunakan aplikasi pelacak nomor Get Contact, ternyata nomor ponsel tersebut mengarah pada nama pemilik yang sama dengan nama pelamar.

Baca juga: BRI Life Telusuri Dugaan Kebocoran Data 2 Juta Nasabah

Rincian data yang bocor

Dalam postingannya, Astarte merinci, data pelamar kerja yang bocor meliputi data kartu tanda penduduk (KTP), kartu keluarga (KK), kartu peserta Badan Penyelenggara Jaminan Sosial (BPJS), ijazah sekolah (SMA, D3, atau S1), transkrip akademik, dan lainnya.

Dari pemeriksaan mandiri yang dilakukan oleh Afif, data pelamar yang ikut bocor termasuk surat lamaran, sertifikat keahlian, NPWP, SKCK, foto, CV, SIM, surat keterangan sehat, hingga surat bebas Covid-19.

Menurut Afif, data yang dia temukan ini cocok dengan ketentuan rekrutmen di situs PTC Pertamina, seperti gambar di bawah ini.

Tangkapan layar alur rekrutmen rekrutmen online di situs PTC Pertamina.dok. Afif Hidayatullah Tangkapan layar alur rekrutmen rekrutmen online di situs PTC Pertamina.
Sayangnya, saat KompasTekno mencoba mengakses situs tersebut pada Selasa sore, situs rekrutmen milik PTC Pertamina itu sedang tidak bisa diakses dan menampilkan pemberitahuan berbunyi "This Site is under Maintanance" (situs ini sedang dalam perbaikan).

Baca juga: Kasus Kebocoran Data 279 Juta WNI, BPJS Kesehatan Akan Digugat lewat PTUN

KompasTekno sudah mencoba menghubungi pihak PTC Pertamina untuk meminta tanggapan terkait dugaan kebocoran data ini. Namun hingga berita ini ditulis, pihak PTC belum memberikan jawabannya.

Di samping itu, KompasTekno juga sudah meminta tanggapan kepada pihak Kementerian Komunikasi dan Informatika (Kemkominfo) dan Badan Siber dan Sandi Negara (BSSN) terkait masalah ini, namun juga belum mendapat respons.

Situs rekrutmen PTC Pertamina tidak bisa diakses pada Selasa (11/1/2022) sore.KOMPAS.com/ Galuh Putri Riyanto Situs rekrutmen PTC Pertamina tidak bisa diakses pada Selasa (11/1/2022) sore.
Risiko yang mengintai

Terkait dugaan kebocoran data lebih dari 163.000 pelamar kerja ini, secara terpisah, KompasTekno menghubungi praktisi keamanan siber dari Vaksin.com, Alfons Tanujaya.

Menurut Alfons, melindungi data atau dokumen yang diterima dari pengguna di situs web memang masih menjadi salah satu masalah utama bagi penyelenggara layanan situs web.

"Jika sudah menerima file, dalam hal ini seperti lamaran kerja dan dokumen pendukungnya, maka data tersebut wajib dilindungi dengan baik dan tidak boleh bocor karena akan mengorbankan pemilik data (pelamar)," kata Alfons.

Baca juga: Internet Sudah 5G, Apa Kabar RUU Perlindungan Data Pribadi?

Sebab apabila data yang dikirimkan pengguna ke suatu situs ternyata bocor, maka akan timbul sejumlah risiko bagi pengguna tersebut.

Risiko pertama, dalam kasus ini, bila benar data yang dibagikan Astarte berasal dari situs rekrutmen milik PTC Pertamina, maka, Alfons mengatakan, sekitar 163.000 pelamar itu menjadi rentan untuk menjadi korban penipuan lamaran kerja.

Misalnya, ada oknum yang mengaku menjadi pihak human resources development (HRD) PTC Pertamina, kemudian meminta sejumlah uang dengan iming-iming proses rekrutmen yang lancar.

"Jika pelamar yang datanya ada di dalam database ini mendapatkan WhatsApp yang berpura-pura sebagai HRD Pertamina dan mengelabuinya untuk mengiirmkan uang dengan dalih uang pendaftaran atau proses lanjutan. Besar kemungkinan korban akan terperdaya dan menjadi korbannya," kata Alfons.

Baca juga: Kasus Kebocoran Data Marak Terjadi, Bisakah Konsumen Menuntut?

Risiko kedua, menurut Alfons, dugaan kebocoran data ini juga disebut berisi informasi berharga lainnya milik ratusan ribu pelamar, seperti KTP dan KK. Menurut Alfons, ini bisa membuat pelamar menjadi korban kejahatan lainnya.

"Misalnya, data dengan mudah dikumpulkan dan digunakan untuk kegiatan jahat seperti membuka rekening bank bodong (setelah membuat KTP asli tapi palsu)," kata Alfons.

Di samping itu, lanjut Alfons, penjahat juga bisa menggunakan data kependudukan seperti NIK dan data lainnya untuk mendaftarkan kartu prabayar. Kemudian kartu prabayar itu digunakan untuk aktivitas jahat dan mengganggu atas nama pengguna.

Simak breaking news dan berita pilihan kami langsung di ponselmu. Pilih saluran andalanmu akses berita Kompas.com WhatsApp Channel : https://www.whatsapp.com/channel/0029VaFPbedBPzjZrk13HO3D. Pastikan kamu sudah install aplikasi WhatsApp ya.

Video rekomendasi
Video lainnya


Baca berita tanpa iklan. Gabung Kompas.com+
Baca berita tanpa iklan. Gabung Kompas.com+
Baca berita tanpa iklan. Gabung Kompas.com+
komentar di artikel lainnya
Baca berita tanpa iklan. Gabung Kompas.com+
Close Ads
Bagikan artikel ini melalui
Oke
Login untuk memaksimalkan pengalaman mengakses Kompas.com