Merespons dugaan kebocoran 279 juta data pribadi penduduk Indonesia, Kementerian Komunikasi dan Informatika (Kominfo) langsung memblokir Raid Forum. Situs surface web ini menjadi tempat jual beli data penduduk Indonesia yang dicuri akun Kotz.
Selain memblokir Raid Forum dan akun Kotz, Kominfo juga memblokir tautan untuk mengunduh data yang dibocorkan. Tautan ini tersebar di beberapa situs penyedia layanan penyimpanan awan seperti mega.nz, anonfiles.com dan bayfiles.com.
Data yang Bocor diduga Berasal dari BPJS Kesehatan
Dalam keterangannya di Raid Forum, Kotz menuturkan bahwa data tersebut berisi NIK, nomor ponsel, e-mail, alamat, dan gaji.
Data tersebut termasuk data penduduk Indonesia yang telah meninggal dunia. Untuk meyakinkan pembeli, Kotz menyertakan 1 juta data sampel yang dapat diunduh secara bebas di situs-situs penyimpanan awan.
Dari struktur data sampel, Kominfo menduga data yang bocor itu berasal dari data BPJS Kesehatan.
"Kementerian Komunikasi dan Informatika menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan," kata Juru Bicara Kemenkominfo Dedy Permadi dalam laman resmi Kemenkominfo, Jumat (21/5/2021).
Deddy mengatakan ada kesamaan strukur seperti Nomor Kartu, Kode Kantor, Data Keluarga/Data Tanggungan, hingga status Pembayaran terkait BPJS Kesehatan.
"Hal tersebut didasarkan pada struktur data yang terdiri dari Noka atau Nomor Kartu, Kode Kantor, Data Keluarga/Data Tanggungan, dan status Pembayaran yang identik dengan data BPJS Kesehatan," ucapnya.
Untuk memastikan dugaan tersebut, dalam siaran pers Kominfo menyatakan telah memanggil Direksi BPJS Kesehatan pada hari Jumat, 21 Mei 2021 sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam
Menurut Kominfo, Pihak BPJS Kesehatan berjanji akan memastikan dan menguji ulang data pribadi yang diduga bocor. BPJS Kesehatan juga sudah menyiapkan langkah-langkah pengamanan data untuk memitigasi risiko kebocoran data pribadi yang lebih luas.Â
Memblokir Situs Bukan Solusi Mitigasi Kebocoran Data
Meski sudah bertindak, respon Kominfo ini justru dipertanyakan netizen. Upaya pemblokiran situs dan akun penyebar serta tautan pengunduhan dianggap tindakan yang sia-sia. Hingga timbul lelucon di kalangan netizen bagi Kominfo, bahwa apapun masalahnya blokir solusinya.
Tindakan memblokir situs dianggap hanya langkah pencegahan satu arah. Orang Indonesia yang awam memang tidak bisa mengakses Raid Forum. Tetapi, meski sudah diblokir situs Raid Forum masih bisa diakses dengan menggunakan perangkat VPN yang sederhana. Orang luar negeri yang IP Address-nya berbeda juga bisa mengakses situs ini dengan bebas dan mudah.
Jadi, seandainya ada transaksi jual beli data di forum tersebut yang dilakukan oleh orang luar negeri atau orang Indonesia yang menggunakan VPN, hal ini masih bisa terjadi.
Selain itu, tindakan pemblokiran ini dianggap tidak mewakili upaya mitigasi kebocoran data pribadi penduduk Indonesia.
Pertanyaan utamanya adalah, apa yang bisa dilakukan Kominfo dalam mitigasi kebocoran data pribadi penduduk Indonesia, selain hanya dengan memblokir situs?
Ini bukan pertama kalinya data pribadi penduduk Indonesia bocor dan diperjualbelikan. Di situs Raid Forum sendiri, pengguna masih bisa mengunduh data-data yang diklaim data pribadi dari berbagai situs atau layanan pengguna. Ada data pribadi pengguna situs judi online, data siswa pelatihan olimpiade sains, sampai data pengguna Tokopedia.
Dari penelusuran yang saya lakukan, saya menemukan akun Bjorka memposting database pengguna Tokopedia dengan kapasitas data sebesar 24 gigabyte.
Struktur data pengguna Tokopedia yang bocor ini di antaranya adalah nama, alamat email, nomor telpon dan potongan password akun Tokopedia.Â
Bisa kita lihat, kebocoran-kebocoran data semacam ini tidak bisa ditanggulangi hanya dengan memblokir situs atau tautan pengunduhan. Perlu adanya mitigasi kebocoran data dari Kominfo agar kasus-kasus pencurian data pribadi dapat diminimalisir.
Pemerintah dalam hal ini Kominfo harus serius menangani kebocoran data yang diduga bersumber dari data BPJS Kesehatan.
Apabila benar, menurut investigasi internal BPJS Kesehatan, data yang bocor itu berasal dari mereka, sebagai masyarakat sekaligus peserta BPJS Kesehatan saya menuntut pertanggungjawaban direksi. Minimal, ada permintaan maaf dari pihak BPJS Kesehatan atas kebocoran data tersebut.
Ke depan, hasil investigasi BPJS Kesehatan yang dikoordinasikan dengan Kominfo dan Badan Siber Sandi Negara (BSSN) harus dipublikasikan ke publik.
Terlepas dari benar atau tidaknya data yang diperjualbelikan di Raid Forum itu berasal dari BPJS Kesehatan, jangan sampai respons Kominfo hingga saat ini hanya sekedar DUINLOP (Do until It's No Longer Our Problem). Hanya sekedar respons sesaat sampai publik sudah lupa.
