JawaPos.com – Masyarakat Indonesia kembali dihadirkan dengan kabar dugaan kebocoran data pribadi. Perusahaan pemantau kejahatan cyber, Hudson Rock menyebutkan dalam akun twitter-nya bahwa pencurian data diduga dialamai BRI Life.
Sebelumnya diwartakan, beredar screenshot atau tangkapan layar yang dibagikan oleh akun Twitter @UnderTheBreach. Dalam unggahan salah satu perusahaan Keamanan Siber (Kamsiber) Israel itu menampilkan banyak domain dan subdomain dari BRI yang datanya diambil.
Menanggapi kasus kebocoran data yang kembali terulang lagi di Indonesia, pakar Kamsiber di tanah air Pratama Persadha menyebut kasus seperti ini akan kembali terulang menimpa tanah air tanpa adanya Undang-undang Perlindungan Data Pribadi (PDP) yang harus segera disahkan.
Chairman Lembaga Riset Siber CISSReC (Communication & Information System Security Research Center) ini menegaskan, sumber kebocoran data adalah akibat peretasan, bukan akibat jual beli data dari pihak internal atau pegawai.
“Tentu kita tidak ingin kejadian ini berulang, karena itu UU PDP (Perlindungan Data Pribadi) sangat diperlukan kehadirannya, asalkan mempunyai pasal yang benar-benar kuat dan bertujuan mengamankan data masyarakat,” ujarnya kepada JawaPos.com.
Selain mendesaknya UU PDP, hal lain yang tak kalah penting adalah penguatan sistem dan Sumber Daya Manusia (SDM) di bidang Kamsiber yang harus ditingkatkan, adopsi teknologi utamanya untuk pengamanan data juga perlu dilakukan.
“Kebocoran data di Indonesia sudah kritis seperti ini seharusnya Pemerintah dan DPR bisa sepakat untuk menggolkan UU PDP. Tanpa UU PDP yang kuat, para pengelola data pribadi baik lembaga negara maupun swasta tidak akan bisa dimintai pertanggungjawaban lebih jauh dan tidak akan bisa memaksa mereka untuk meningkatkan teknologi, SDM dan keamanan sistem informasinya,” tegas Pratama.
Dia juga menjabarkan bahwa pada saat dicek di raidforums, ada akun bernama Reckt sempat mengupload sampel data yang dia jual, namun beberapa saat kemudian dihapus. Akun tersebut menjual Database Nasabah BRI Life Insurance (2 juta lebih nasabah) dan Scan Dokumen (lebih dari 463 ribu).
Berdasarkan penelusurannya, database-nya memiliki pin polis asuransi (sha1), detail lengkap tentang pelanggan yang menggunakan Asuransi BRI Life, total manfaat, total periode tahun. Lalu juga ada dokumen bermacam-macam seperti KTP, KK, NPWP, foto buku rekening bank, akta kelahiran, akta kematian, surat perjanjian, bukti transfer, bukti keuangan, bukti surat kesehatan seperti EKG, diabetes dan lainnya.
“Ada sebanyak 463.519 file dokumen dengan ukuran mencapai 252 GB dan juga ada file database berisi 2 juta nasabah BRI Life berukuran 410 MB. Untuk sampel sendiri yang diberikan berukuran 2,5 GB berisi banyak file dokumen,” terangnya.
Dari sampel yang didapat, datanya sangat lengkap. Mulai dari data mutasi rekening, bukti trasnfer setoran asuransi, KTP, ada juga tangkapan layar perbincangan di platform WhatsApp nasabah dengan pegawai BRI Life, dokumen pendaftaran asuransi, KK, beberapa formulir pernyataan diri dan kesanggupan, bahkan lengkap dengan polis asuransi jiwa juga ada lengkap disertakan.
“Artinya dari klaim Hudson Rock sebagai pihak yang menginformasikan kebocoran maupun pelaku penjual data, kemungkinan besar benar. Bahwa data yang mereka klaim tersebut memang berisi berbagai data dari nasabah BRI Life,” lanjut Pratama.
Ditambahkan olehnya tentu ini menjadi perhatian serius. Bila diperhatikan dari tangkapan layar yang dibagikan Hudson Rock, data jelas diambil karena pembobolan situs. Bisa dilihat bagaimana situs-situs BRI Life disebutkan bahkan beserta username atau akun login, password dan IP.
“Perlu dilakukan forensik digital untuk mengetahui celah keamanan mana yang dipakai untuk menerobos, apakah dari sisi SQL (Structured Query Language) sehingga diekspos SQL Injection atau ada celah keamanan lain. Seperti adanya compromised dari akun BRI Life yang juga berpotensi dimanfaatkan hacker untuk masuk ke dalam sistem,” tandasnya.