Data SIM Card Bocor: 2 Aturan Kominfo Ini Bisa Dimanfaatkan Hacker

Kebocoran data kembali terjadi. Kali ini "giliran" 1.3 milyar data registrasi SIM card prabayar yang mengalami kebocoran. Kebocoran data kali ini diketahui setelah akun Bjorka menjualnya melalui forum Breached.to. Data SIM Card sebesar 87 GB yang dijual itu meliputi NIK, nomor ponsel, provider telekomunikasi, dan tanggal registrasi.

Dari 1.3 milyar data yang berhasil digondol, Bjorka baru memajang 1.5 juta data sebagai sampel. Akun anonim itu membandrol data curiannya dengan harga Rp 700 juta yang ditransaksikan dengan menggunakan mata uang kripto.

Kominfo tak Miliki Aplikasi Penyimpan Data Registrasi SIM Card Prabayar

Gegara kasus kebocoran daya ini, Kementerian Komunikasi dan Informatika (Kominfo) kembali menjadi bulan-bulanan netizen dalam beberapa hari terakhir. Tagar #TuntutKominfo pun menjadi trending pada 3 September 2022.

Bagaimana mungkin data segitu banyaknya bisa bocor @kemkominfo keamanan data para pengguna sim card bagaimana? semua data rakyat ada pada saat registrasi kartu. Sdah seharusnya #TuntutKominfo #TuntutKominfo#TuntutKominfo pic.twitter.com/QpEA1W8SHg--- Lilis Mbok Ewett (@Mbok_Ewett) September 3, 2022

Melalui Siaran Pers No. 377/HM/KOMINFO/09/2022 Tentang Pernyataan terkait Dugaan Kebocoran Data Pendaftaran Kartu SIM Telepon Indonesia, Kominfo telah meluruskan tuduhan bahwa kementerian yang saat ini dipimpin oleh Johnny G Plate itu sebagai biang keladinya.   

Dalam siaran pers yang diunggah Kominfo.go.id pada 1 September 2022 itu, Kominfo menyatakan " ... telah melakukan penelusuran internal. Dari penelusuran tersebut, dapat diketahui bahwa Kementerian Kominfo tidak memiliki aplikasi untuk menampung data registrasi prabayar dan pascabayar". 

Ditegaskan juga bahwa berdasarkan pengamatan atas penggalan data yang disebarkan oleh akun Bjorka tidak berasal dari Kementerian Kominfo.

Kendati demikian, masih dalam siaran persnya, Kominfo tengah melakukan penelusuran lebih lanjut terkait sumber data dan hal-hal lain terkait dengan dugaan kebocoran data tersebut.

"Kementerian Komunikasi dan Informatika telah melakukan penelusuran internal. Dari penelusuran tersebut, dapat diketahui bahwa Kementerian Kominfo tidak memiliki aplikasi untuk menampung data registrasi prabayar dan pascabayar," ungkap pihak Kominfo melalui keterangan resmi kepada KompasTekno pada 1 September 2022. 

Dari Pengamat Telekomunikasi: Data Registrasi SIM Card Diduga dari "Gudang" Penyimpanan Dukcapil?

Pada 2016, Kominfo menerbitkan Peraturan Menteri Kominfo Nomor 12 Tahun 2016 Tentang Registrasi Pelanggan Jasa Telekomunikasi. Peraturan yang kemudian diubah pada 2017 ini mewajibkan masyarakat untuk mendaftarkan kartu prabayar.

Menteri Komunikasi dan Informatika (Menkominfo) ketika itu, Rudiantara, mengatakan aturan registrasi kali ini bertujuan untuk meminimalisir penyalahgunaan nomor pelanggan prabayar yang selama ini banyak dipergunakan untuk penipuan, penyebaran konten negatif atau hate speech.

Ketika itu, Kominfo menjamin keamanan data yang diserahkan pengguna kartu prabayar. Namun, ternyata, data tersebut bocor pada akhir Agustus 2022.

Data pengguna kartu prabayar yang berhasil digondol tersebut terdiri dari semua pengguna operator seluler. Dari fakta ini diduga kuat bila data tidak dicuri dari masing-masing operator seluler.

Lantas dari mana peretas mendapatkan data tersebut? 

Penjelasan pengamat industri telekomunikasi Agung Harsoyo ini menarik untuk mengungkap kasus pembobolan 1.3 milyar data registrasi SIM card prabayar.

Kepada media, Agung yang juga mantan Komisioner Badan Regulasi Telekomunikasi Indonesia (BRTI) menuturkan bahwa sejauh pengetahuan yang dimilikinya, Kominfo memang tidak memiliki sistem yang dipakai dalam proses registrasi kartu SIM.

"Kalau secara sistem, waktu saya di BRTI, Kementerian Kominfo memang tidak men-setup sistem untuk registrasi SIM ini," papar Agung sebagaimana dikutip Liputan6.com.

Kemudian, Agung menjelaskan tentang proses registrasi SIM card prabayar. Menurut Agung, proses registrasi SIM prabayar dimulai dari pelanggan yang mengirimkan NIK dan Nomor KK ke operator. Selanjutnya, pesan tersebut lantas diteruskan ke Dukcapil (Dinas Kependudukan dan Pencatatan Sipil) untuk melakukan pencocokan NIK dengan Nomor KK.

Setelah itu, masih menurut penjelasan Agung, sistem yang dioperasikan Dukcapil akan memberikan jawaban "Ya" atau "Tidak" sebagai kepastian apakah NIK dan Nomor KK yang didaftarkan sesuai.

Maka, mari penjelasan Agung Harsoyo yang terbilang gamblang tersebut, patut diduga kuat bila data registrasi SIM card prabayar dibobol dari penyimpanan yang dimiliki oleh Dukcapil.

Jika dicermati, penjelasan Agung tersebut selaras dengan klaim akun Bjorka yang mengaku keberhasilannya dalam mencuri data registrasi SIM Card tersebut berkaitan dengan kebijakan Kominfo yang mewajibkan registrasi SIM card atau nomor handphone dengan menggunakan nomor Kartu Keluarga (KK) dan NIK pada KTP. 

Dan, faktanya, pendaftaran SIM card prabayar hanya dapat disetujui jika terdapat kesesuaian antara data KK dan data NIK yang terdata pada sistem Dukcapil.

2 Aturan Kominfo yang bisa Dimanfaatkan Hacker

Kendati data registrasi SIM card prabayar yang dijual Bjorka bukan dijebol dari sistem Kominfo karena kementerian ini tidak men-setup sistem untuk registrasi SIM sekaligus juga tidak memiliki aplikasi penyimpanannya, namun kementerian ini tetap harus mewaspadai dua aturan Kominfo yang berpotensi digunakan oleh hacker.

Dua peraturan itu terdapat pada Peraturan Menteri komunikasi dan Informatika Nomor 5 Tahun 2021 Tentang Penyelenggara Telekomunikasi.

Dalam Pasal 169 disebutkan bahwa Penyelenggara Jasa Telekomunikasi (PJT) wajib menyampaikan laporan setiap 3 (tiga) bulan kepada Direktur Jenderal dengan tembusan kepada Direktur.

Laporan yang dimaksud berupa data Pelanggan Jasa Telekomunikasi Prabayar aktif baik itu perorangan, maupun badan hukum, badan usaha non badan hukum dan/atau organisasi lainnya yang menggunakan Nomor MSISDN untuk keperluan sebagaimana dimaksud dalam Pasal 164 ayat 

Selanjutnya, data perorangan yang wajib disetorkan oleh PJT adalah identitas Pelanggan Jasa Telekomunikasi yang melakukan Registrasi; dan Nomor MSISDN yang digunakan. 

Semtara, untuk laporan data pelanggan jasa telekomunikasi korporasi sedikitnya memuat identitas nama penanggung jawab perorangan, badan hukum, badan usaha dan/atau organisasi, lainnya yang melakukan registrasi nomor MSISDN yang digunakan dan peruntukannya sebagaimana dimaksud dalam Pasal 164 ayat (2).

Dan, menurut Pasal 170 Permen Kominfo No. 5/2021, untuk mendukung kebenaran laporan data Pelanggan Jasa Telekomunikasi aktif sebagaimana dimaksud dalam Pasal 169 ayat (1), PJT wajib menyediakan pusat data PJT aktif yang secara real time terhubung dengan sistem monitoring registrasi Kementerian.

Kedua peraturan inilah yang berpotensi dimanfaatkan oleh peretas. Peretas bisa "membajak" pengiriman data pelanggan dari PJT ke Kominfo yang wajib dilakukan setiap tiga bulan sekali.

Dengan cara yang hampir serupa, hacker juga bisa mendapatkan data pengguna layanan seluler prabayar dan pascabayar dari pusat data dengan melakukan penyusupan ke dalam jaringan yang menghubungkan Kominfo dan masing-masing operator.

Kominfo pastinya tidak mungkin serta merta mengubah aturan yang sudah ditetapkannya. Namun demikian, Kominfo perlu melakukan audit pada sistem keamanan pengiriman data dari PJT ke Kominfo dan jaringan Kominfo ke tiap-tiap pusat data PJT.

Meski 1.3 milyar data registrasi SIM card prabayar  bukan dicuri dari Kominfo, namun peristiwa saat ini merupakan warning bagi Kominfo untuk sesegera mungkin meningkatkan keamanan sistem beserta jaringan-jaringan digitalnya.