e-Paper DPR RI

Verifikasi klaim Bjorka yang telah mencuri data pribadi dari Peduli Lindungi penting agar jelas pihak yang bertanggung jawab dan bisa dievaluasi untuk mitigasi risiko serupa di masa mendatang.

JAKARTA, KOMPAS — Klaim kepemilikan 3,2 miliar data dari aplikasi Peduli Lindungi oleh Bjorka perlu segera diverifikasi kebenarannya. Selain memastikan hal itu, tidak menutup kemungkinan bagi pemerintah juga membuka komunikasi dengan pihak yang mengaku dirinya sebagai Bjorka tersebut.

Sebanyak 3,2 miliar data yang diklaim berasal dari aplikasi Peduli Lindungi ditawarkan oleh Bjorka di breach forum. Data yang ditawarkan, antara lain, terdiri dari nama, alamat surel, nomor induk kependudukan (NIK), nomor telepon, tanggal lahir, dan riwayat penelusuran kontak yang dijual 100.000 dollar AS dalam bentuk bitcoin.

Dalam unggahannya tersebut, Bjorka membagi data yang ia tawarkan menjadi beberapa kategori, yakni data pengguna 94 juta, akun yang diurutkan 94 juta, serta data vaksinasi 209 juta. Kategori berikutnya adalah data riwayat check in 1,3 miliar dan data riwayat penelusuran kontak 1,5 miliar.

Terkait hal itu, anggota Komisi I DPR dari Fraksi Partai Nasdem, Muhammad Farhan, pada Jumat (18/11/2022) meminta Kementerian Komunikasi dan Informatika, Badan Siber dan Sandi Negara, serta Polri mengejar Bjorka. Sejalan dengan itu, keamanan siber perlu diperkuat, khususnya terkait kemungkinan adanya celah di aplikasi Peduli Lindungi.

”Klaim pencurian data dari Bjorka ini harus segera diverifikasi sehingga kita bisa memastikan apakah data itu betul-betul dari Peduli Lindungi yang memiliki pengamanan yang berlapis atau data lain,” kata Farhan.

DPR RI

Anggota Komisi I DPR dari Fraksi Partai Nasdem, Muhammad Farhan

Sebab, lanjut Farhan, ketika beberapa waktu lalu Bjorka mengklaim telah mencuri data pelanggan Indihome, setelah diverifikasi, ternyata data yang dicuri adalah data pengguna akses internet terbuka wifi.id yang memang rendah tingkat pengamanannya. Oleh karena itu, verifikasi penting dilakukan oleh otoritas terkait untuk memastikan hal itu.

Di sisi lain, menurut Farhan, pemerintah perlu membuka komunikasi dengan Bjorka untuk mengetahui motivasi sebenarnya. Komunikasi dengan peretas, lanjut Farhan, adalah hal yang lumrah.

hacker

Terkait dengan sudah adanya Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), kata Farhan, saat ini penerapan UU PDP masih menunggu masa sosialisasi dan pembuatan peraturan pemerintah sebagai turunan pelaksanaan teknis. Meski demikian, bukan berarti penegakan hukum untuk pengelolaan data pribadi tidak bisa dijalankan.

Anggota Komisi I DPR dari Fraksi Partai Golkar, Bobby Adhityo Rizaldi, juga menekankan perlunya verifikasi terhadap klaim Bjorka tersebut. Jika benar, hal berikutnya yang harus dipastikan adalah hal itu terjadi karena peretasan atau karena memang ada kebocoran data.

Baca juga: Kebocoran Kembali Terjadi, Panja DPR Ingin Gali Penyebab Kebocoran

”Sehingga jelas duduk persoalannya, siapa yang bertanggung jawab, dan bisa dievaluasi untuk mitigasi risiko serupa di masa datang,” kata Bobby.

Menurut dia, akun Bjorka telah dengan sengaja mengekspos data pribadi orang lain, bahkan melakukan jual beli. Oleh karena itu, Bjorka sudah melanggar Pasal 65 UU PDP yang melarang mengungkap data pribadi yang bukan miliknya. Untuk itu, ia berharap otoritas yang memiliki instrumen dan sumber daya untuk mengawasi serta menegakkan hukum terkait pelindungan data pribadi segera menindak Bjorka.

Terkait dengan masih belum adanya aturan turunan dari UU PDP sebagai petunjuk pelaksanaan teknis, menurut Bobby, hal itu bukan berarti tidak bisa dilakukan penegakan hukum. Sebab, sudah ada regulasi atau peraturan yang sebelumnya sudah dibuat yang menjadi dasar untuk melakukan penegakan hukum.

Rugikan masyarakat

Ketua lembaga Riset Keamanan Cyber (CISSReC) Pratama Persadha berpandangan, dalam berbagai kasus kebocoran data oleh penyelenggara sistem elektronik, masyarakat sebenarnya hanya bisa berpasrah diri. Sebab, pihak yang mengalami kebocoran data bukan masyarakat.

”Karena itulah dibuat UU PDP agar masyarakat ada kesempatan melakukan langkah hukum dan menerima ganti kerugian atas kebocoran data yang terjadi,” kata Pratama.

Baca juga: Otoritas Pengawas Belum Dibentuk, Pemerintah Harus Tetap Lindungi Data Pribadi

KOMPAS

Ilustrasi Peretas

Terkait hal ini, lanjut Pratama, pemerintah seharusnya terus mengingatkan dan mengedukasi masyarakat tentang ancaman serius akibat kebocoran data, seperti melalui telemarketing palsu, pinjaman daring ilegal, hingga pesanan daring fiktif. Kejahatan terkait perbankan, seperti tawaran sebagai nasabah premium atau informasi palsu, diyakini akan semakin marak.

Contoh kejahatan tersebut, menurut Pratama, kebanyakan dilakukan pelaku dengan mengirim pesan Whatsapp secara massal ke nomor yang mereka dapatkan dari pencurian dan kebocoran data pribadi. Namun, UU PDP saat ini belum bisa diberlakukan secara efektif karena badan atau komisi PDP belum dibentuk.

Mengenai dugaan kebocoran data aplikasi Peduli Lindungi, kata Pratama, hal itu hanya bisa dilakukan dengan verifikasi atau pengecekan oleh penyelenggara sistem elektronik. Jika benar terjadi kebocoran, sebagaimana diatur Pasal 46 UU PDP, penyelenggara sistem elektronik harus mengumumkan bahwa terjadi kegagalan perlindungan data pribadi yang mereka simpan, kelola, dan proses.

”Lebih jauh untuk investigasi, sebenarnya diperlukan komisi PDP yang saat ini belum ada. Komisi PDP inilah yang nantinya menentukan apakah penyelenggara sistem elektronik bersalah atau tidak saat ada kebocoran data pribadi di sistem informasi mereka,” kata Pratama.