BARISAN.CO – Seorang peretas di forum peretasan menjual basis data yang diklaim berisi data pribadi 279 juta warga Indonesia (termasuk data warga yang sudah meninggal). Data tersebut ditawarkan melalui forum jual beli data, RaidForums.
Peretas tersebut mengaku mendapatkan data itu dari situs BPJS Kesehatan yang beralamat di bpjs-kesehatan.go.id.
Informasi kebocoran data pertama kalinya diketahui dari akun @ndagels di Twitter, Kamis (20 Mei 2021). Dalam unggahannya, @ndagels menerka-nerka asal kebocoran data ini disertai tangkapan layar mengenai informasi terkait 279 juta data penduduk Indonesia.
“Hayoloh kenapa ga rame ini data 279 juta penduduk indonesia bocor dan dijual dan bahkan data orang yg udah meninggal, kira – kira dari instansi mana?” tulis @ndagels, dikutip dari Twitter-nya, Kamis.
Dalam tweet lanjutannya, @ndagels kemudian menyebut akun Twitter BPJS Kesehatan dan menanyai tanggapannya. Permintaan tanggapan tersebut menyusul adanya tangkapan layar isi percakapan seorang pengguna Twitter @Br_AM yang menghubungi si penjual.
Kementerian Komunikasi dan Informatika (Kemkominfo) menemukan kebocoran data pribadi di jagad maya berasal dari data milik Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan.
Jubir Kemkominfo Dedy Permadi mengatakan jumlah data pribadi yang bocor berjumlah 100.002 data pribadi.
“100.002 data pribadi ini diduga kuat berasal dari data BPJS Kesehatan,” kata Dedy dalam pernyataan resminya, Jumat (21/5/2021).
Ia menyebut ada 4 jenis data yang terkonfirmasi dan menjadi alasan terkait dugaan kebocoran data dari BPJS Kesehatan. Pertama data NoKa atau Nomor Kartu yang itu adalah data identik dengan data nomor kartu peserta BPJS Kesehatan.
Ciri kedua yang teridentifikasi juga adalah Kode Kantor yang diduga adalah kode kantor BPJS Kesehatan . Ketiga adalah data keluarga dan data tanggungan jaminan kesehatan yang itu juga identik dengan data yang dimiliki peserta BPJS Kesehatan. Keempat adalah status pembayaran jaminan yang juga identik dengan data BPJS Kesehatan
Selanjutnya, Kemkominfo telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut.
“Terdapat 3 tautan yang terindetifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com. Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown (diblokir), sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera,” ujar Dedy.
Selain itu, Dedy juga menjelaskan bahwa pada Jumat ini Kementerian Kominfo melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam sesuai amanat PP Nomor 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE).
Sesuai PP PSTE dan Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, PSE (Penyelenggara Sistem Elektronik) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi,
“Wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain,” ujar dia.
Dedy menambahkan, PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, dalam hal diketahui bahwa terjadi kegagalan perlindungan data pribadi. [rif]