Polisi Kantongi Identitas Peretas Data BPJS Kesehatan, Terlacak Melalui Mata Uang Kripto

Editor : Anjar Wulandari

BANJARMASINPOST.CO.ID, JAKARTA - Data kependudukan Indonesia bocor dan dijual di situs online, Raid Forums. Diduga diretas dari situs BPJS Kesehatan.

Informasi terbaru dari Mabes Polri yang menangani kasus ini, identitas pelaku pembobol 279 juta data penduduk Indonesia yang berasal dari BPJS Kesehatan telah berhasil dikantongi oleh pihak kepolisian.

Keberadaan pelaku ini diketahui setelah penelurusan polisi melalui mata uang kripto ( Cryptocurrency) yang diduga kuat milik dari pelaku yang telah meretas data BPJS Kesehatan RI.

Dijelaskan Karo Penmas Divisi Humas Polri Brigjen Rusdi Hartono, berdasarkan hasil pelacakan pihak kepolisian diketahui identitas itu diduga sama dengan identitas pelaku yang menyebarkan 279 juta data penduduk Indonesia melalu forum internet.

Pihaknya juga telah memeriksa secara online cryptocurrency yang diduga itu milik pelaku.

"Untuk sementara penyidik telah menemukan profil milik pelaku yang ada di dalam raidforum itu," kata Rusdi di Mabes Polri, Jakarta, Selasa (15/6/2021).

Baca juga: Syarat dan Kriteria Penerima BLT Dana Desa Rp 300.000, Bukan Penerima PKH dan Kartu Prakerja

Baca juga: Data BPJS Kesehatan yang Bocor Termasuk ASN, TNI & Polri, Tjahjo Kumolo Minta Kemkominfo Usut Tuntas

Ia menuturkan pihaknya akan mendalami profil pelaku yang telah berhasil dikantongi. Ke depan, pihaknya akan melacak keberadaan pelaku untuk mempertanggung jawabkan perbuatannya tersebut.

"Profilnya penyidik sudah membaca itu. Tinggal didalami oleh penyidik. Ke depan ada perkembangannya. Tentunya sudah mengarah profil ke pelaku," ungkap dia.

Di sisi lain, pihaknya juga telah memeriksa kurang lebih 15 orang saksi dalam kasus ini. Mereka berasal dari pihak BPJS Kesehatan, vendor hingga BSSN.

"BPJS penyidik telah meriksa lebih kurang 15 saksi dari BPJS, vendor, BSSN juga telah diperiksa. Kemudian telah buat permohonan izin khusus penyitaan terhadap server BPJS kesehatan," tukasnya.

Sebagai informasi, Polri telah membentuk tim khusus untuk mengusut dugaan kasus kebocoran 279 juta data penduduk Indonesia. Data yang bocor itu diduga berasal dari BPJS Kesehatan.

Data tersebut diduga bocor dan diperjualbelikan di forum internet. Data itu mencakup nomor induk kependudukan, kartu tanda penduduk (KTP), nomor telepon, email, nama, alamat, hingga gaji.

* Data yang Bocor Termasuk Prajurit TNI Polri

Data kependudukan Indonesia bocor dan dijual di situs online, Raid Forums. Diduga diretas dari situs BPJS Kesehatan.

Fakta ini pun menjadi sorotan banyak pihak, khususnya kerawanan yang bakal muncul dengan insiden tersebut.

Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (PANRB) Tjahjo Kumolo pun mengungkapkan kekhawatiran dengan kebocoran data kependudukan tersebut.

Sebab, tak hanya masyarakat biasa, tapi data yang bocor yang terdapat data ASN, anggota TNI dan Polri di Indonesia.

Tjahjo Kumolo pun menyesalkan kebocoran data yang diduga berasal dari Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan itu.

Agar tidak berlanjut dan menghindari hal-hal  yang tidak diinginkan, Menteri Tjahjo pun mendukung Kementerian Komunikasi dan Informatika untuk mengusut tuntas kebocoran data peserta BPJS Kesehatan.

“Kami mendukung Kemkominfo untuk mengusut tuntas kejadian kebocoran data WNI ini. Saya yakini data-data yang dimiliki ASN juga termasuk didalamnya,” tegas Menteri Tjahjo dalam keterangannya, Senin (24/5/2021).

Kebocoran data 279 juta penduduk ini, terindikasi terkait nama, nomor telepon, alamat, gaji, serta data kependudukan.

Kemungkinan, data para ASN juga termasuk dalam kebocoran data tersebut.

Sebab, ASN, serta prajurit TNI-Polri juga menjadi peserta BPJS Kesehatan.

Menurut informasi, Kemkominfo telah melakukan investigasi terhadap dugaan kebocoran data ini sejak 20 Mei 2021.

Isu ini berasal dari media sosial yang menyebutkan data penduduk Indonesia bocor dan dijual ke forum peretas online.

Baca juga: Beredar Hoax Bantuan BPJS Kesehatan Rp 3.550.000 Bantuan Sosial Finansial, Ini Fakta Sesungguhnya

Baca juga: Setelah THR 2021 Cair, BLT BPJS Ketenagakerjaan Segera Menyusul Dicairkan, Simak Penjelasannya

Dari 279 juta data tersebut, 20 juta di antaranya disebut memuat foto pribadi.

BPJS Kesehatan membentuk tim khusus bersama Badan Siber dan Sandi Negara (BSSN), Kemkominfo, serta Telkom untuk melakukan penelusuran.

Kemkominfo juga telah memanggil Direksi BPJS Kesehatan untuk segera memastikan dan menguji ulang data pribadi yang bocor.

Dalam pasal 26 ayat (1) UU 19/2016 tentang Informasi dan Transaksi Elektronik, tertulis bahwa penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.

Dasar tersebut kemudian diturunkan dalam Peraturan Menteri Komunikasi dan Informatika No. 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.

Pada pasal 36 peraturan menteri tersebut, pihak yang menyebarluaskan data pribadi dikenai sanksi berupa peringatan lisan, tertulis, penghentian kegiatan, atau pengumuman di situs online.

Perlu diakui, dasar hukum perlindungan data pribadi WNI masih dalam rancangan undang-undang (RUU).

“Kementerian PANRB mendorong DPR untuk segera mengesahkan RUU Perlindungan Data Pribadi demi terjaminnya data masyarakat, khususnya ASN yang dalam hal ini dirugikan atas kebocoran data BPJS Kesehatan tersebut,” ujar Tjahjo.

RUU ini penting karena selama ini secara nyata terlihat bahwa penegak hukum masih kesulitan untuk menerapkan sanksi tegas yang sifatnya pidana kepada oknum yang membocorkan data konsumen.

“Sehingga penting agar RUU Perlindungan Data Pribadi disahkan dengan segera,” tegasnya.

* Dugaan Peran Orang Dalam Mencuat

Diberitakan, data pribadi peserta BPJS Kesehatan diduga bocor sejak lama dan dijual di situs luar negeri, Raid Forums.

Dataset yang diduga data pribadi penduduk Indonesia itu dijual dengan harga 0,15 bitcoin.

Kepala Indonesia Cyber Security Forum, Ardi Sutedja, menduga kebocoran ini telah dimulai sejak lama karena tidak mungkin terjadi dalam waktu yang singkat.

Ardi juga meyakini ada unsur orang dalam atau unsur dari sisi SDM.

Sebab, tidak mungkin ada orang yang bisa menerobos suatu sistem keamanan jaringan komputer, atau server terbesar tanpa ada faktor manusia.

"Melihat celah-celah yang ada di dalam sistem, di sistem komputer mereka, lembaga yang diretas, dilihat kelemahannya. Tapi pasti ada juga unsur orang dalam, artinya unsur di sisi SDM-nya," kata dia, seperti dikutip dari tribunnews.com.

"Itu yang biasanya dicari. Enggak mungkin lantas orang bisa menerobos suatu sistem keamanan jaringan komputer atau server terbesar, tanpa ada faktor manusia," kata Ardi dikutip dari tayangan video di kanal YouTube Kompas TV, Jumat (21/5/2021).

Ardi mengungkapkan, BPJS bukan merupakan lembaga kecil.

Sehingga, BPJS pasti telah menanamkan investasi di bidang teknologi dengan cukup besar.

"Ini juga bukan merupakan lembaga kecil, mereka pasti sudah menanamkan investasi di bidang teknologi dengan cukup besar," sambungnya.

Untuk itu, perlu adanya penelusuran terkait kelemahan yang ada dalam sistem pengamanan datanya.

"Kalau sudah lakukan hal semua ini, jadi apa yang menjadi kelemahan di dalam suatu sistem pengamanan di data mereka."

"Ini yang harus ditelusuri, apakah ini benar BPJS atau bukan, kan kita enggak tahu. Yang jelas kan data sudah bocor," kata Ardi.

Klarifikasi Kemenkominfo

Manajemen BPJS Kesehatan pun 'kebakaran' dan buru-buru memberikan klarifikasi.

Kementerian Komunikasi dan Informatika (Kominfo) juga ikut gusar dan langsung melakukan investigasi terkait dugaan kebocoran data pribadi penduduk Indonesia.

Dalam pernyataan resminya Kominfo menyampaikan, sampel data pribadi yang beredar telah diinvestigasi sejak 20 Mei 2021.

Berdasarkan investigasi tersebut, Kominfo menemukan akun bernama Kotz menjual data pribadi di Raid Forums.

Akun Kotz merupakan pembeli dan penjual data pribadi atau reseller.

Juru Bicara Kementerian Kominfo, Dedy Permadi, membantah isu data pribadi yang bocor sebanyak 279 juta data.

"Data sampel yang ditemukan tidak berjumlah 1 juta seperti klaim penjual, namun berjumlah 100.002 data," ujarnya, dikutip dari laman kominfo.go.id, Jumat (21/5/2021).

Kominfo menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan.

Hal tersebut didasarkan pada struktur data yang terdiri dari Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status pembayaran yang identik dengan data BPJS Kesehatan.

Kominfo lalu melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut.

Dedy Permadi mengatakan, terdapat tiga tautan yang terindetifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com.

"Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown," katanya.

"Sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera," jelas Dedy.

Panggil Direksi BPJS Kesehatan

Kominfo hari ini langsung memanggil direksi BPJS Kesehatan yang diduga ceroboh mengelola data pribadi psertanya, untuk proses investigasi secara lebih mendalam, Jumat (21/5/2021).

Kominfo menyandarkan pada Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE).

Selain itu, juga sesuai Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Penyelenggara Sistem Elektronik (PSE) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib untuk melaporkan dalam kesempatan pertama kepada Kominfo dan pihak berwenang lain.

PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi bahwa terjadi kegagalan perlindungan data pribadi.

Tanggapan Roy Suryo

Melalui akun Twitter miliknya, pengamat telematika Roy Suryo juga mempertanyakan kepada Badan Siber dan Sandi Negara (BSSN).

"Sudah viral dan bahkan dimuat di hampir semua media mainstream soal kebocoran data-data penduduk Indonesia sejumlah 279 juta jiwa dan dijual di situs online, namun barusan siaran pers resmi Kemkominfo menyatakan bahwa "belum dapat disimpulkan terjadinya kebocoran."

Pakar telematika Roy Suryo di SPKT Polda Metro Jaya, Jakarta Selatan, Jumat (24/1/2020).

"Bagaimana ini BSSN? AMBYAR," lanjut Roy Suryo.

Saat dikonfirmasi Tribunnews.com, Roy Suryo menyebut kasus bocornya data kependudukan berada di bawah tanggung jawab BSSN.

"Iya, BSSN lah yang seharusnya bertanggung jawab atas hal-hal tersebut," ucap Roy Suryo melalui pesan singkat, Jumat (21/5/2021). (*)

Artikel ini telah tayang di Tribunnews.com dengan judul Tjahjo Kumolo Dukung Kemkominfo Usut Tuntas Dugaan Kebocoran Data BPJS Kesehatan, dan judul Pembobol 279 Juta Data BPJS Kesehatan Teridentifikasi, Dilacak Lewat Penelusuran Mata Uang Kripto,