Cakra Berita – Hacker Bjorka kemarin kembali mengklaim telah membocorkan 44,2 juta data dari aplikasi MyPertamina. Ketua lembaga riset siber CISSReC (Pusat Riset Keamanan Sistem Komunikasi & Informasi Pratama Persadha) mengungkapkan, data tersebut valid.
“Saat sampel data dicek secara acak dengan aplikasi GetContact, maka nomor tersebut dengan benar menunjukkan nama pemilik nomor tersebut,” kata Pratama, Kamis (11/10).
Selain itu, pengecekan NIK melalui aplikasi Dataku juga cocok. “Artinya data sampel yang diberikan Bjorka adalah data yang valid,” kata Pratama.
Pratama mengatakan, sebelumnya Bjorka sudah berjanji akan mengungkapkannya ke publik.
Data yang diklaim oleh Bjorka adalah 44.237.264 baris dengan total ukuran hingga 30 GB saat tidak dikompresi. Data sampel dibagi menjadi 2 file, yaitu data transaksi dan data akun pengguna.
Hacker mengatakan data yang bocor terdiri dari nama, email, Nomor Induk Kependudukan (NIK), Nomor Pokok Wajib Pajak (NPWP), nomor ponsel, alamat, tempat dan tanggal lahir, jenis kelamin, penghasilan (harian, bulanan, tahunan), dan lain-lain. .
Data tersebut diunggah pada hari yang sama pukul 10.31 WIB oleh anggota forum situs bobol.
Bjorka menjual data tersebut dengan harga US$ 25.000 atau setara dengan Rp. 392 juta. Itu hanya menerima pembayaran menggunakan Bitcoin.
Pratama mengatakan hingga saat ini sumber data tersebut masih belum jelas.
Namun terkait keaslian data tersebut, hanya Pertamina sendiri yang bisa menjawabnya. Karena aplikasi ini dibuat oleh Pertamina yang juga memiliki dan menyimpan data tersebut.
Menurutnya, cara terbaik adalah audit dan investigasi forensik digital untuk memastikan dari mana kebocoran data ini berasal.
“Perlu dilakukan pengecekan sistem informasi dari aplikasi MyPertamina yang datanya dibocorkan oleh Bjorka,” ujarnya. Jika ditemukan celah keamanan, berarti sangat mungkin terjadi peretasan dan pencurian data.
Jika pemeriksaan menyeluruh dan forensik digital tidak menemukan celah keamanan dan jejak digital peretasan, “kemungkinan kebocoran data ini terjadi karena orang dalam atau data ini dibocorkan oleh orang dalam,” kata Pratama.
Pratama mengatakan jika data MyPertamina benar, maka Pasal 46 UU PDP ayat 1 dan 2. yang menjelaskan bahwa dalam hal terjadi kegagalan perlindungan data pribadi, pengontrol data pribadi wajib menyampaikan pemberitahuan tertulis, paling lambat 3×24 jam.
Pemberitahuan disampaikan kepada subjek data pribadi dan Lembaga Pelaksana Perlindungan Data Pribadi (LPPDP).
“Pemberitahuan sekurang-kurangnya memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, upaya penanganan dan pemulihan dari pengungkapan oleh pengelola data pribadi,” jelas Pratama.
Ia menambahkan, saat ini yang terpenting adalah segera membentuk badan pengawas PDP. “Ini sudah diamanatkan UU PDP agar presiden membentuk Komisi PDP setelah undang-undang itu berlaku,” kata Pratama.
Pratama mengatakan, komisi PDP tidak hanya mengawasi tetapi juga menegakkan aturan dan menciptakan standar keamanan tertentu dalam pengolahan pengolahan data.
“Dalam kasus kebocoran data seperti MyPertamina, jika ada orang yang dirugikan nantinya bisa mengajukan gugatan melalui KPU PDP,” kata Pratama.
Sementara itu, Sekretaris Perusahaan PT Pertamina Patra Niaga (PPN) Irto Ginting mengatakan Pertamina dan Telkom sedang melakukan investigasi bersama untuk memastikan keamanan data dan informasi terkait.
Sedangkan perbuatan Bjorka melanggar Pasal 67 UU Perlindungan Data Pribadi sebagai berikut:
1. Setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya untuk kepentingan dirinya sendiri atau orang lain yang dapat mengakibatkan kerugian bagi pemilik data, dipidana dengan pidana penjara paling lama 5 tahun dan/atau denda maksimal Rp. 5 miliar;
2. Setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya dipidana dengan pidana penjara paling lama 4 tahun dan/atau denda paling banyak Rp. 4 miliar;
3. Setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya dipidana dengan pidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp. 5 miliar.
Sebelumnya, Presiden Joko Widodo (Jokowi) membentuk tim darurat. Tim darurat tersebut terdiri dari Kementerian Komunikasi dan Informatika (Kominfo), Badan Siber dan Sandi Negara (BSSN), Badan Intelijen Negara (BIN), dan Polri.
Namun Deputi Bidang Strategi dan Kebijakan Keamanan Siber dan Sandi BSSN, Irjen Pol. Dono Indarto mengatakan, penyidikan Bjorka diserahkan kepada penegak hukum. “Jadi apa yang muncul, masalah, dan lain-lain sudah diserahkan ke penegak hukum,” katanya di kantor Google Indonesia, Selasa (25/10).
Dia juga mengatakan bahwa pemerintah masih mengkaji data yang dicuri oleh peretas Bjorka. “Data umum banyak, jadi kami tidak bisa bilang ini kebocoran data,” kata Dono.
