105 Juta Data Kependudukan Warga Indonesia Diduga Bocor, Diklaim dari KPU

KOMPAS.com - Kasus kebocoran data kembali terjadi. Kali ini, 105 juta data kependudukan warga Indonesia diduga bocor dan dijual di forum online "Breached Forums".

Data tersebut dijual oleh anggota forum dengan username "Bjorka" dalam sebuah postingan di situs Breached Forums, berjudul "INDONESIA CITIZENSHIP DATABASE FROM KPU 105M" (database kependudukan Indonesia dari KPU 105 juta).

Bjorka merupakan akun yang sama yang membocorkan data pelanggan IndiHome dan menjual 1,3 miliar nomor HP dan NIK pelanggan seluler Indonesia.

Baca juga: Data 1,3 Miliar Nomor HP Indonesia Diduga Bocor, Ada NIK dan Nama Operator

Postingan soal data yang diklaim berasal dari KPU itu diunggah tak lama setelah Bjorka mengunggah pesan balasan untuk Kominfo, "Stop Being an Idiot", setelah diminta "jangan menyerang".

Dalam postingan yang diunggah hari ini, Selasa (6/9/2022) itu, Bjorka mengawali postingannya dengan mencatut logo Komisi Pemilihan Umum (KPU). Hal ini mengindikasikan bahwa 105 juta data kependudukan yang dijualnya itu kemungkinan besar adalah Daftar Pemilih Tetap Pemilihan Umum (DPT Pemilu) yang berasal dari KPU.

Dalam deskripsi informasi, diketahui bahwa data yang dijual Bjorka, tepatnya berjumlah 105.003.428. Data ini bisa dibilang paket komplet karena menyertakan berbagai informasi sensitif dan lengkap dari warga Indonesia.

Mulai dari nama lengkap, nomor induk kependudukan (NIK), nomor kartu keluarga (No KK), alamat lengkap, tempat dan tanggal lahir, usia, jenis kelamin, bahkan hingga keterangan soal disabilitas.

Tak hanya itu, karena diklaim berasal dari KPU, data yang dijual juga memuat informasi soal pemilu, seperti nama dan nomor ID provinsi, kota, kecamatan, serta nomor Tempat Pemungutan Suara (TPS).

Data sensitif tersebut dijual seharga 5.000 dollar AS atau setara Rp 74,4 juta. Sang hacker menyebut, 105 juta data kependudukan warga Indonesia itu disimpan dalam file berukuran 4 GB (Compressed) atau 20 GB (Uncompressed).

Untuk membuktikan bahwa data itu asli, Bjorka memberikan sembilan baris data sebagai spoiler. Pengguna internet bisa melihat data spoiler tersebut secara langsung di postingan Bjorka, tanpa perlu mengunduh apapun.

Kesembilan baris data spoiler itu terpantau memuat informasi 9 penduduk Indonesia yang berasal dari provinsi Sulawesi Selatan dan Sulawesi Tenggara.

Tak hanya itu, Bjorka juga menyediakan sebuah tautan untuk mengunduh 2 juta sampel data secara bebas dan gratis.

Baca juga: 3 Kasus Kebocoran Data di Indonesia dalam Sebulan, dari PLN, IndiHome, hingga Nomor SIM Card

Breached Forums/ Bjorka Tangkapan layar Bjorka menjual juta data kependudukan milik 105 juta warga Indonesia, Selasa (6/9/2022).

Data disebut valid

Peneliti keamanan siber independen yang juga seorang bug hunter (pemburu celah keamanan internet), Afif Hidayatullah mengatakan bahwa data yang dibagikan Bjorka itu valid.

Kesimpulan ini diambil setelah Afif melakukan pengecekan NIK acak (random) melalui situs Dinas Kependudukan Pencatatan Sipil Kota Kediri. Dia lantas mencari sampel NIK yang berasal dari daerah tersebut, untuk bisa dilakukan pengecekan melalui situs web tersebut.

"Saya coba check (secara) random NIK-nya. Salah satunya yang ada di kota Kediri, yaitu 3571************, dan (hasilnya) ya NIK sih valid. Menurut saya, berarti data ini benar data masyarakat kita," kata Afif melalui pesan singkat kepada KompasTekno, Selasa (6/9/2022).

Meski begitu, Afif belum mengetahui sumber kebocoran 105 juta data kependudukan milik  warga Indonesia. Namun, dia menduga bahwa data tersebut berasal dari Daftar Pemilih Tetap Komisi Pemilihan Umum (DPT KPU).

"Kalau sumber, saya belum yakin. Cuma (jika) dilihat dari file sample itu diberi nama 'DPTKPU2M', kalau dipisah (menjadi) DPT KPU. Ini di (pencarian) Google masuknya data pemilihan tetap (DPT). Ini masih dugaan saya," kata Afif.

Hal senada juga dikatakan praktisi keamanan siber dari Vaksincom, Alfons Tanujaya. Setelah dilakukan pencocokan data dari sampel yang disematkan Bjorka, Alfons meyakini bahwa data tersebut valid.

Dia juga mengatakan, bahwa sumber data tersebut kemungkinan besar berasal dari KPU, lantaran terdapat informasai TPS.

"Dan datanya kemungkinan besar memang data KPU karena di sana ada informasi TPS," kata Alfons kepada KompasTekno.

Baca juga: Pengamat: Masyarakat Jangan Disalahkan soal Kebocoran Data 1,3 Miliar Nomor HP

Kesaksian korban yang datanya ada di sampel Bjorka

KompasTekno turut mendapatkan kesaksian bahwa dua baris data dari 2 juta sampel yang dibagikan Bjorka itu valid alias benar.

Kesaksian itu datang dari seorang pembaca KompasTekno yang kebetulan juga merupakan kenalan tim KompasTekno. Dia menceritakan, dirinya tengah membaca artikel berita kebocoran data nomor HP dan NIK.

Setelah membaca artikel tersebut, dia penasaran dan langsung mengecek akun Bjorka di situs Breached Forums. Tak dinyana-nyana, Bjorka baru saja mengunggah data 105 juta data penduduk dari KPU tadi. Dia lalu mengunduh sampel data yang diberikan.

Setelah dicek, ternyata informasi kependudukan milik dirinya dan ibunya ada di dalam 2 juta sampel yang dibagikan gratis tadi. Dia mengungkapkan bahwa informasi kependudukan yang dicantumkan di sampel data meliputi nama lengkap, NIK, alamat, nomor kartu keluarga (KK), dan sebagainya.

Baca juga: Nasib Warga RI, Dulu Dipaksa Setor Nomor HP dan NIK, Kini Datanya Bocor dan Dijual Online

Data DPT Pemilu 2014 pernah bocor pada 2020

Pada 2020, sekitar 2,3 juta data kependudukan warga Indonesia juga dilaporkan bocor dan dibagikan lewat sebuah forum komunitas hacker.

Sang peretas menyebut data itu diambil dari situs Komisi Pemilihan Umum pada tahun 2013. Data tersebut diklaim sebagai data Daftar Pemilih Tetap (DPT) Pemilu 2014, khususnya di Daerah Istimewa Yogyakarta (DIY).

Data pribadi yang bocor mencakup sejumlah informasi sensitif seperti nama lengkap, nomor Kartu Keluarga (KK), Nomor Induk Kependudukan (NIK), tempat & tanggal lahir, usia, jenis kelamin, status perkawinan, dan alamat lengkap penduduk.

Data kependudukan tersebut tersedia dalam bentuk PDF yang sudah disortir berdasarkan TPS.

Data TPS yang dibagikan diantaranya mencakup wilayah Pondok Rejo, Tambak Rejo, Sumber Rejo, Lumbung Rejo, Moro Rejo, Margo Rejo, Merdiko Rejo, dan Banyu Rejo.

Komisi Pemilihan Umum (KPU) sendiri membantah klaim hacker yang memiliki 200 juta data DPT. Komisioner KPU, Viryan Aziz saat itu menegaskan bahwa jumlah data DPT Pemilu tahun 2014 tidak sampai 200 juta, melainkan hanya 190 Juta.

Baca juga: Data Diduga Bocor, KPU Sebut Informasi yang Disebar Hacker Bersifat Terbuka

Kendati begitu, Viryan mengatakan bahwa data tersebut bersifat terbuka untuk memenuhi kebutuhan publik dan sudah sesuai dengan regulasi.

Lantas, apakah data kependudukan yang bocor kali ini sama dengan data 2020 lalu? Terkait hal ini, Afif belum bisa memastikan. Menurut dugaan Afif, datanya berbeda. Karena data kependudukan yang bocor pada 2020 kemungkinan hanya mencakup DPT Pemilu 2014-2017.

Namun, 105 juta data kependudukan yang dibocorkan Bjorkan kali ini memuat data DPT Pemilu di tahun 2018.

"Sepertinya (data yang) baru berbeda seperti dulu. Karena saya lihat dari 2 juta sample ini hanya (memuat) data di tahun 2018," pungkas Afif.

KompasTekno masih menghubungi KPU dan Kementerian Komunikasi dan Informatika (Kominfo) atas dugaan kebocoran data ini. Namun, hingga berita ini ditulis, baik Kominfo dan KPU belum memberikan jawaban.

Update, Selasa (6/9/2022), 21:43 WIB, pernyataan dari KPU terkait dugaan kebocoran data:

“Setelah kami analisis, koding yang dilakukan dalam situs yang dimaksud bukan merupakan data yang dimiliki KPU,” ujar Koordinator Divisi Data dan Informasi KPU RI, Betty Epsilon, kepada Kompas.com, Selasa (6/9/2022) malam.

“Sejauh ini koordinasi kami kepada tim satgas keamanan cyber KPU, semua sistem informasi masih kondusif kondisi keamanannya,” ia melanjutkan.

Baca juga: Data 105 Juta Penduduk Milik KPU Diduga Bocor, KPU Bantah