Jakarta -
Kasus dugaan kebocoran data dalam jumlah besar kembali terjadi di Indonesia. Kali ini giliran data PLN dan data milik puluhan ribu perusahaan di Indonesia yang diduga bocor dan dijual di dark web.
Dugaan kebocoran data PLN meliputi 17 data pribadi pelanggan yang dijual di forum online bernama Breach Forum. Sedangkan kebocoran data yang diduga berasal dari 21.000 perusahaan Indonesia dan perusahaan asing yang bercabang di Indonesia sebesar 347GB.
Kementerian Komunikasi dan Informatika (Kominfo) dan pakar keamanan siber turut mengomentari insiden ini. Berikut rangkumannya:
SCROLL TO CONTINUE WITH CONTENT
Kebocoran data PLN
Akun bernama 'Loliyta' mengaku memiliki 17 data pribadi pelanggan PLN yang dijual di forum online Breach Forum. Data sensitif yang diduga bocor termasuk informasi nama ID pelanggan, nama pelanggan, alamat, sampai jumlah penggunaan listrik.
Pakar keamanan siber Pratama Persadha mengatakan data yang bocor itu diunggah pada Kamis (18/8) malam di forum online. Akun yang mengunggah data tersebut juga menyertakan sampel yang diuga berisi sampel database pelanggan PLN.
Sampel lengkapnya berisi data seperti ID, Idpel, Name, Consumer Name, Energy Type, Kwh, Address, Meter No, Unit Upi, Meter Type, Nama Unit Upi, Unit Ap, Nama Unit Ap, Unit Up, dan Nama Unit Up.
Kebocoran data 347GB dari ribuan perusahaan
347GB data yang diduga milik puluhan ribu perusahaan di Indonesia diduga bocor dan dijual di dunia maya. Data itu diunggah dalam postingan di forum dark web berjudul "347GB Confidential documents of 21.7K Indonesia Companies + Foreign Companies (branch)".
Postingan ini diunggah pada 15 Agustus oleh akun bernama 'Toshikana' yang turut menyertakan sampel data secara gratis. Postingan itu diunggah di forum hacker breached(dot)xx yang mirip seperti RaidForums.
Data sebesar 347 GB ini diklaim berisi kartu tanda penduduk (KTP) dan nomor pokok wajib pajak (NPWP) direksi dan komisaris, NPWP perusahaan, dan kartu keluarga (KK) pemegang saham.
Selain itu, beberapa paspor pengurus perusahaan, akta pendirian perusahaan dan akta perubahan perusahaan, surat pengukuhan pengusaha kena pajak, pendaftaran perusahaan, izin usaha, laporan keuangan, laporan rugi laba, catatan transfer, rekening koran, surat pemberitahuan tahunan (SPT), surat keterangan domisili, rekonsiliasi bank, dan banyak lagi.
Akun' Toshikana' mengaku menjual data yang bocor tersebut sebesar USD 50.000 atau sekitar Rp 743 jutaan. Untuk meyakinkan pembeli, mereka menyertakan dua sampel database dalam format .zip berukuran 296 MB dan 675KB.
Halaman berikutnya respon pakar keamanan siber dan evaluasi Kominfo
Respons pakar keamanan siber
Terkait kasus kebocoran data yang diduga melibatkan PLN, pakar keamanan siber dari CISSReC (Communication & Information System Security Research Center) Pratama Persadha mengatakan sampel yang disediakan oleh akun 'Loliyta' hanya berisi 10 data pelanggan PLN.
"Jika diperiksa, sample data yang diberikan tersebut hanya memuat 10 pelanggan PLN. Dari data tersebut berisi banyak informasi dari pelanggan PLN, misalkan nama, id pelanggan, alamat, Tipe pelanggan, batas daya, dan yang lainnya" terang Pratama.
Ketika nomor ID pelanggan yang diberikan dalam sampel ini dicocokkan dengan platform pembayaran, maka muncul nama pelanggan yang sesuai dengan sampel data yang dibagikan. Maka kemungkinan data yang bocor ini merupakan data pelanggan milik PLN.
Sedangkan untuk kasus kebocoran data 347GB Pratama mengatakan perlu dilakukan forensik digital untuk mengetahui celah keamanan mana yang dimanfaatkan oleh hacker untuk membobol data milik 21.000 perusahaan.
"Perlu forensik digital untuk mengetahui celah keamanan mana yang peretas pakai untuk menerobos. Apakah dari sisi SQL (standard query language) sehingga diekspos SQL injection atau ada celah keamanan lain?" kata Pratama Persadha melalui percakapan WhatsApp kepada ANTARA.
Pratama menekankan pentingnya upaya pencegahan kebocoran data, salah satunya dengan menggunakan enkripsi. Ia juga menyarankan pemerintah dan swasta sebaiknya menguatkan sistem komputer, salah satunya bisa dipaksa menggunakan Undang-Undang Perlindungan Data Pribadi (UU PDP).
"Jadi, ada paksaan atau amanat dari UU PDP untuk memaksa semua lembaga negara melakukan perbaikan infrastruktur IT, SDM, bahkan adopsi regulasi yang pro pengamanan siber," kata Pratama.
Akan dievaluasi Kominfo
Kementerian Komunikasi dan Informatika turut memberikan responsnya terkait dua kasus dugaan kebocoran data ini. Untuk kasus yang diduga melibatkan 347GB data perusahaan di Indonesia, Kominfo mengatakan masih mendalami kebocoran data tersebut.
"Kami sedang dalami," kata Juru Bicara Kementerian Kominfo Dedy Permadi kepada detikINET, Jumat (19/8/2022).
Sedangkan terkait dugaan kebocoran data milik PLN, Menkominfo Johnny G. Plate mengatakan pihaknya sedang melakukan pengecekan.
"Kita sedang mengecek, jangan sampai salah. Dari dulu saya sampaikan, sudah berulang-ulang agar teknologi keamanan, enkripsi itu harus kuat di semua penyelenggara sistem yang menggunakan data masyarakat memberikan perlindungan," ungkap Johnny di Jakarta, Jumat (19/8/2022).
"Kita sedang evaluasi terkait informasi potensi kebocoran data di persero PLN. Sampai saat ini itu bisa saja terjadi, namun kebocoran datanya tidak terkait dengan data existing di PLN, mungkin saja itu data lama," tuturnya.
Di saat bersamaan, Johnny mengungkap bahwa Badan Siber dan Sandi Negara (BSSN) turut melakukan pendampingan teknis. Meski begitu, Johnny mengatakan data pengguna harusnya dijaga agar jangan sampai bocor. Jika sampai bocor, maka tata kelola data harus diperbaiki.
"Kominfo sendiri sudah menyampaikan dan mengirim formulir insiden, kita menunggu laporannya untuk melakukan audit, apa saja yang terjadi di sana. BSSN juga bersama PLN melakukan pengawal pusat data PLN," pungkasnya.
.webp)
