Kominfo Telusuri Kebocoran Data 163.000 Pelamar Kerja yang Diduga Milik Anak Usaha Pertamina

KOMPAS.com - Kementerian Komunikasi dan Informatika (Kominfo) menindaklanjuti kebocoran data 163.000 pelamar kerja yang diduga milik PT Pertamina Training & Consulting (PTC).

Data tersebut bocor dan dibagikan secara gratis di Internet. PTC sendiri merupakan anak perusahaan Badan Usaha Milik Negara (BUMN), Pertamina.

Baca juga: Data 163.000 Pelamar Kerja Bocor di Internet, Diduga Milik Anak Perusahaan Pertamina

"Di antaranya dengan meminta informasi secara formal dari jajaran Direksi PTC guna mendapatkan klarifikasi lebih lanjut," kata Dedy Permadi selaku Juru Bicara Kementerian Kominfo, melalui keterangan resmi yang diterima KompasTekno, Kamis (13/1/2022).

Kominfo sendiri belum membagikan detail lebih lanjut soal dugaan kebocoran data ini. Termasuk belum membenarkan atau menyangkal bahwa data 163.000 pelamar yang diduga bocor benar berasal dari situs rekrutmen milik PT Pertamina Training & Consulting (PTC).

Adapun sosok yang membocorkan data ini merupakan anggota forum online Raid Forums dengan nama akun "Astarte".

Dia adalah pemilik akun yang sama dengan penjual data enam juta pasien yang diklaim berasal dari server pusat milik Kementerian Kesehatan (Kemenkes) RI, 6 Januari lalu.

KompasTekno sudah berusaha menghubungi pihak PTC Pertamina untuk meminta tanggapan terkait masalah ini. Namun, hingga berita ini ditulis, pihak PTC Pertamina belum juga memberikan respons atau tanggapannya terkait dugaan kebocoran data ini.

Astarte juga terlihat turut menyertakan sebuah foto yang diklaim sebagai isi data ratusan ribu file pelamar yang bocor itu. Pantauan KompasTekno, data tersebut terdiri dari dua format, yaitu foto (JPEG, JPG) dan dokumen PDF.

Baca juga: Kebocoran Data Terjadi Lagi, Sampai Mana RUU Perlindungan Data Pribadi?

Dugaan kebocoran data 163.000 pelamar kerja yang diduga dari situs perusahaan PTC Pertamina, diperkuat dengan temuan Afif Hidayatullah, seorang peneliti keamanan siber independen yang juga seorang bug hunter (pemburu lubang keamanan internet).

Saat dihubungi KompasTekno melalui e-mail, Selasa (11/1/2022), Afif menceritakan bahwa ia menelusuri sumber kebocoran data dengan mengunduh file berukuran 60 GB dari situs Raid Forums.

Setelah diunduh, kata Afif, ia mencoba melakukan pemeriksaan terhadap file tersebut.

"Dalam pemeriksaan saya menemukan adanya index.php dalam file 163.zip yang di-share oleh Astarte, tidak hanya itu saya juga menemukan file-file lamaran yang menuju PTC Pertamina," jelas Afif.

PSE wajib lindungi data pribadi sesuai aturan

Dok. Shutterstock Ilustrasi kejahatan di dunia digital.

Dalam kasus ini, situs rekrutmen PTC Pertamina yang diduga merupakan asal-muasal kebocoran data 163.000 pelamar kerja itu termasuk ke dalam kategori PSE Lingkup Publik, di mana penyelenggaraan sistem elektronik dilakukan oleh instansi negara atau institusi yang ditunjuk oleh instansi negara.

Adapun ketentuan dimaksud Koiminfo ialah sebagai berikut:

• Pasal 26 ayat 1 UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik serta perubahannya.
  Kominfo menambahkan, kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.
• Pasal 24 ayat 3 PP No. 71 Tahun 2019 tentang Penyelenggara Sistem dan Transaksi Elektronik (PP PSTE).
  Kominfo menjelaskan, dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap Sistem Elektronik, Penyelenggara Sistem Elektronik wajib mengamankan Informasi Elektronik dan/atau Dokumen Elektronik dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan Kementerian atau Lembaga terkait.
• Pasal 28 PM Kominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.
  Di mana setiap Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia data pribadi dalam Sistem Elektronik yang dikelolanya.

Kominfo juga menegaskan bahwa setiap PSE juga wajib mematuhi standar dan kebijakan teknis keamanan siber.

"Tujuannya agar dapat memperkuat keamanan dan keandalan sistem elektronik PSE dalam kegiatan pemrosesan data pribadi yang diatur oleh Badan Siber dan Sandi Negara (BSSN)," kata Dedy.

Baca juga: Pengamat: UU PDP Absen, Swasta dan Lembaga Negara Sulit Dituntut Jika Data Bocor

Rincian data pelamar yang diduga bocor

Adapun total data pelamar yang dibagikan mencapai 60 GB. Setelah melakukan pemeriksaan terhadap 60 GB data yang dibagikan Astarte secara gratis itu, Afif menemukan file index.php di mana dalam file itu tertera nama URL dari situs rekrutmen PTC Petamina.

Ia juga menemukan sejumlah dokumen permohonan kerja yang ditujukan kepada PT Pertamina Training & Consulting. Afif pun merinci, data pelamar kerja PTC Pertamina yang diduga bocor sebagai berikut:

• Kartu tanda penduduk (KTP)
• Kartu keluarga (KK)
• Kartu peserta Badan Penyelenggara Jaminan Sosial (BPJS)
• Ijazah sekolah (SMA, D3, atau S1)
• Transkrip akademik
• Surat lamaran
• Sertifikat keahlian
• NPWP
• SKCK
• Foto
• CV
• SIM
• Surat keterangan sehat
• Surat bebas Covid-19