• Jumat, 01 Maret 2024

204 Juta DPT KPU Diduga Bocor, Dijual Hacker Senilai 1,2 Miliar

Kamis, 30 November 2023 - 07.34 WIB
86

Foto: Ist.

Kupastuntas.co, Jakarta - Data Komisi Pemilihan Umum (KPU) RI menjadi sasaran serangan siber oleh peretas atau hacker. Peretas dengan nama anonim “Jimbo" mengklaim telah meretas situs kpu.go.id dan berhasil mendapatkan 240 juta data pemilih tetap (DPT) dari situs tersebut. 

Pakar keamanan siber dari Communication and Information System Security Research Center (CISSReC), Pratama Persadha menjelaskan, hacker Jimbo membagikan 500 ribu data contoh yang didapatkan pada salah satu unggahan di situs BreachForums (biasa digunakan untuk menjual hasil retasan”. Serta beberapa tangkapan layar dari website https://cekdptonline.kpu.go.id/ untuk memverifikasi kebenaran data yang didapatkan tersebut.

Jimbo juga menyampaikan dalam unggahannya bahwa data 252 juta yang berhasil didapatkan isinya beberapa data yang terduplikasi. Dimana setelah Jimbo melakukan penyaringan, ada 204.807.203 data unik.

“Jumlah ini hampir sama dengan jumlah pemilih dalam DPT KPU yang berjumlah 204.807.222 pemilih dari 514 kabupaten/kota di Indonesia serta 128 negara perwakilan,” kata Pratama lewat keterangan tertulis dikutip, pada Rabu (29/11/2023).

Di dalam data yang didapatkan Jimbo tersebut, ada beberapa data pribadi yang cukup penting seperti Nomor Induk Kependudukan (NIK), Nomor Kartu Keluarga (KK), dan Nomor KTP serta berisi nomor paspor untuk pemilih yang berada di luar negeri.

Selain itu, ada data nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, kodefikasi kelurahan, kecamatan, dan kabupaten serta kodefikasi TPS.

Tim CISSReC, kata Pratama, juga sudah mencoba melakukan verifikasi data sampel yang diberikan secara random melalui website cek dpt. Hasilnya sama dengan data sampel yang dibagikan oleh peretas Jimbo, termasuk nomor TPS di mana pemilih terdaftar. 

“Jimbo menawarkan data yang berhasil dia dapatkan seharga US$ 74.000 atau hampir setara Rp 1,2 miliar,” ucap Pratama.

Pratama mengatakan, kemungkinan besar Jimbo berhasil mendapatkan akses login dengan dengan role Admin KPU dari domain sidalih.kpu.go.id. Dia menduga hacker menggunakan metode phising, social engineering atau melalui malware.

“Di mana dengan memiliki akses dari salah satu pengguna itu Jimbo mengunduh data pemilih serta beberapa data lainnya,” ujarnya. Jika peretas Jimbo benar-benar berhasil mendapatkan kredensial dengan role Admin, hal ini tentu saja bisa sangat berbahaya. Karena bisa  saja akun dengan role admin tersebut dapat dipergunakan untuk merubah hasil rekapitulasi penghitungan suara saat pesta demokrasi mendatang. 

“Yang tentunya akan mencederai pesta demokrasi bahkan bisa menimbulkan kericuhan pada skala nasional,” ucapnya.

Menurutnya, perlu dilakukan audit forensik dari sistem keamanan serta server KPU. Tujuannya memastikan dimana titik serangan yang dimanfaatkan peretas untuk mendapatkan data pemilih yang diklaim berasal dari website KPU tersebut.

Sambil melakukan investigasi, sebaiknya tim IT KPU melakukan perubahan username dan password dari seluruh akun yang memiliki akses ke sistem KPU. Sehingga bisa mencegah user yang semula berhasil didapatkan oleh peretas supaya tidak dapat dipergunakan kembali. 

“CISSReC sebelumnya sudah memberikan peringatan kepada Ketua KPU tentang vulnerability di sistem KPU pada 7 Juni 2023 lalu,” tuturnya.

Merespons insiden itu, Ketua Divisi Data dan Teknologi Informasi KPU RI, Betty Epsilon Idroos mengatakan, pihaknya sudah berkoordinasi dengan Satuan Tugas (Satgas) Siber Pemilu guna memastikan keamanan data pemilih pada Pemilu 2024.

"Saat ini kami meminta bantuan dari Satgas Siber, sekarang yang bekerja BSSN (Badan Siber dan Sandi Negara)," katanya.

Betty mengatakan, KPU telah menerima informasi terkait dugaan pembobolan data pemilih yang dilakukan seorang peretas yang menggunakan nama "Jimbo" tersebut. KPU langsung melakukan penelusuran dan bekerja sama dengan kementerian dan lembaga pemerintah non-kementerian terkait, termasuk berkoordinasi dengan BSSN untuk memverifikasi sumber data yang diduga telah dibobol itu.

Ketua KPU RI, Hasyim Asy'ari mengatakan, tengah menelusuri kebenaran informasi kebocoran data pemilih di Pemilu 2024. Hasyim menyebut, data pemilih tersebut tidak hanya dimiliki oleh KPU, tetapi juga berbagai pihak lainnya.

"Waktu itu yang angkanya 100 juta itu, 104 juta ya itu kalau di database KPU tidak ada indikasi tetapi data itu kan memang di luar banyak yang pegang. Gak cuma KPU," kata Hasyim, Rabu (29/11/2023).

Menurutnya, KPU baru mengetahui adanya kebocoran dan penjualan data pemilih tersebut melalui berita-berita. KPU pun bekerja sama dengan tim dari BSSN, cyber crime Mabes Polri, BIN, dan Kemenkominfo untuk memastikan kebenaran informasi tersebut.

"Nanti kalau sudah indikasi-indikasi sudah jelas tentu ada tindakan-tindakan lanjutan, tapi yang paling penting sekarang sedang diperiksa, sedang dicek, sedang dilacak kebenaran informasi tersebut," ujarnya.

Dugaan kebocoran data itu juga dibenarkan Bareskrim Polri. Kepolisian menemukan dugaan kebocoran data pemilih dalam situs kpu.go.id milik KPU lewat patroli siber yang dilakukan penyidik Direktorat Tindak Pidana Siber (Dittipidsiber).

Direktur Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri, Brigjen Adi Vivid A Bachtiar mengatakan, pihaknya tengah melakukan koordinasi dengan KPU untuk menyelidiki dugaan kebocoran tersebut.

“Saat ini, CSIRT (Computer Security Insident Response Team) sedang berkoordinasi langsung dengan KPU untuk sekaligus melakukan penyelidikan," kata Vivid, Rabu (29/11/2023).

Sementara itu, Menteri Komunikasi dan Informatika (Menkominfo), Budi Arie Setiadi mengatakan, aksi pelaku pencurian data KPU itu karena motif ekonomi.

Budi mulanya merujuk Undang-Undang Perlindungan Data Pribadi (UU PDP) yang mengatur pengelolaan dan perlindungan data menjadi tanggung jawab lembaga terkait.

"Gini, Pak. Memang kalau menurut Undang-Undang Perlindungan Data Pribadi sudah jelas lembaganya harus bertanggung jawab," ujarnya.

Budi mendorong pelaku pencurian data diproses secara hukum. Dia menyebut pihaknya sudah berkoordinasi dengan beberapa lembaga terkait kasus ini, yakni Badan Siber dan Sandi Negara (BSSN), Komisi Pemilihan Umum (KPU), dan aparat hukum.

"Nah pelaku pencurian atau pemanfaatan data secara tidak sah ini ya harus diproses secara hukum. Ini lagi memang aparat hukum dan BSSN, KPU, kami sedang berkoordinasi pelakunya apa, motif nya apa," ujarnya.

Dari hasil koordinasi itu, Budi membeberkan motif pelaku itu diduga karena ekonomi. Dia menyinggung penjualan data yang mahal harganya. "Ini motifnya sih ekonomi, dalam pengertian jualan data. Kan data harganya mahal sekarang ya kan," kata Budi.

Dirjen Aptika Kementerian Kominfo, Semuel Abrijani Pangerapan menambahkan, sudah mengirimkan surat lewat email kepada KPU dan memberikan waktu 3 hari untuk merespon.

Ia menjelaskan pihaknya juga telah melakukan penelusuran awal, seperti mengumpulkan data yang ada di publik semenjak kabar tersebut beredar. "Datanya yang bisa saja dari mana, sama dengan data kependudukan. cuman formatnya yang berbeda," ungkapnya.

Dia juga tak bisa memastikan apakah sistem KPU buruk. Sebab sejauh ini tidak bisa melakukan penelusuran mendalam. "Kami menunggu jawaban. Memang tugasnya dari kepolisian dan BSSN," tegasnya.

Wakil Ketua Komisi I DPR RI, Abdul Kharis Almasyhari meminta pertanggungjawaban KPU atas terjadinya dugaan kebocoran data pemilih. Kharis mengungkit aturan dalam Undang-Undang (UU) Perlindungan Data Pribadi (PDP) yang mengatur bahwa lembaga pengelola secara sah harus menjamin keamanan, dalam hal data pemilih ini ialah KPU.

"Jadi di Undang-Undang PDP itu amanatnya kita gak mau tahu itu dicolong oleh siapa, itu bagian berikutnya. Tapi bahwa sampai kecolongan ini harus bertanggung jawab ini, KPU ini. Jadi dalam hal ini yang salah adalah KPU langsung, langsung kita bisa mengatakan yang salah KPU sebagai pengelola data ini,” kata Kharis.

Ia mengatakan aparat penegak hukum perlu menindak pelaku pencurian data ilegal. Namun, dia tetap menekankan lembaga pengelola data harus menjamin keamanan data yang dipegangnya.

"Jadi bahwa kemudian nanti harus cari siapa yang nyolong, itu iya. Tapi bahwa pengelola data bertanggung jawab, menjamin keamanan. Masih ingat kita, karena belum lama ini pembahasannya (UU PDP)," katanya. (*)

Artikel ini telah terbit di Surat Kabar Harian Kupas Tuntas Edisi Kamis, 30 November 2023 dengan judul "204 Juta DPT KPU Diduga Bocor, Dijual Hacker Senilai 1,2 Miliar"