Lagi-lagi kasus kebocoran data terungkap di Indonesia, mulai dari IndiHome sampai PLN. Semua jadi repot. Sampai kapan ini akan terus berulang?
Dugaan kebocoran data PLN meliputi 17 juta data pribadi pelanggan yang dijual di Breach Forum. Ada lagi kebocoran data yang diduga dari 21.000 perusahaan Indonesia dan perusahaan asing yang bercabang di Indonesia sebesar 347GB.
Data pelanggan Indihome juga diduga bocor dan dijual di situs Bjorka. Sebanyak 26 juta histori pencarian, berikut keyword, user info mencakup email, nama, jenis kelamin, hingga NIK milik pelanggan dapat diakses di situs itu.
Bagaimana respons pihak terkait, inilah rangkumannya, Senin (22/8/2022):
1. Dugaan kebocoran data PLN
Akun 'Loliyta' mengaku memiliki 17 juta data pribadi pelanggan PLN yang dijual di forum online Breach Forum. Data sensitif yang diduga bocor termasuk informasi nama ID pelanggan, nama pelanggan, alamat, sampai jumlah penggunaan listrik.
Pakar keamanan siber Pratama Persadha mengatakan data yang bocor itu diunggah pada Kamis (18/8) malam di forum online. Akun yang mengunggah data tersebut juga menyertakan sampel yang diuga berisi sampel database pelanggan PLN.
Sampel lengkapnya berisi data seperti ID, Idpel, Name, Consumer Name, Energy Type, Kwh, Address, Meter No, Unit Upi, Meter Type, Nama Unit Upi, Unit Ap, Nama Unit Ap, Unit Up, dan Nama Unit Up.
2. Dugaan kebocoran data 347GB ribuan perusahaan
Selain data PLN, 347GB data yang diduga milik puluhan ribu perusahaan di Indonesia diduga juga bocor dan dijual. Data itu diunggah dalam postingan di forum dark web berjudul '347GB Confidential documents of 21.7K Indonesia Companies + Foreign Companies (branch)'.
Postingan ini diunggah pada 15 Agustus oleh akun 'Toshikana' disertai sampel data. Postingan itu diunggah di forum hacker breached(dot)xx yang mirip seperti RaidForums.
Data sebesar 347 GB ini diklaim berisi KTP dan NPWP direksi dan komisaris, NPWP perusahaan, dan KK pemegang saham. Ada pula data paspor pengurus perusahaan, akta-akta penting, pendaftaran perusahaan, izin usaha, laporan keuangan, laporan rugi laba, catatan transfer, rekening koran, SPT, surat keterangan domisili, rekonsiliasi bank, dan banyak lagi.
Akun' Toshikana' mengaku menjual data yang bocor tersebut sebesar USD 50.000 atau sekitar Rp 743 jutaan. Untuk meyakinkan pembeli, mereka menyertakan dua sampel database dalam format .zip berukuran 296 MB dan 675KB.
3. Respons pakar untuk data PLN
Pakar keamanan siber dari CISSReC (Communication & Information System Security Research Center) Pratama Persadha mengatakan sampel yang disediakan oleh akun 'Loliyta' hanya berisi 10 juta data pelanggan PLN.
"Jika diperiksa, sample data yang diberikan tersebut hanya memuat 10 pelanggan PLN. Dari data tersebut berisi banyak informasi dari pelanggan PLN, misalkan nama, id pelanggan, alamat, Tipe pelanggan, batas daya, dan yang lainnya" terang Pratama.
Ketika nomor ID pelanggan yang diberikan dalam sampel ini dicocokkan dengan platform pembayaran, maka muncul nama pelanggan yang sesuai dengan sampel data yang dibagikan. Maka kemungkinan data yang bocor ini merupakan data pelanggan milik PLN.
Sedangkan untuk kasus kebocoran data 347GB, Pratama mengatakan perlu dilakukan forensik digital untuk mengetahui celah keamanan mana yang dibobol hacker. Apakah SQL (standard query language) sehingga diekspos SQL injection atau ada celah keamanan lain. Pratama menekankan pentingnya Undang-Undang Perlindungan Data Pribadi (UU PDP).
"Jadi, ada paksaan atau amanat dari UU PDP untuk memaksa semua lembaga negara melakukan perbaikan infrastruktur IT, SDM, bahkan adopsi regulasi yang pro pengamanan siber," kata Pratama.
Halaman selanjutnya: Dugaan kebocoran data IndiHome >>>
(fay/afr)