Polisi Tangkap Pegawai Kementerian Kesehatan yang Jual Data Pasien Covid-19
Ilustrasi. Polisi Belanda tangkap penjual data Kementerian Kesehatan terkait Covid-19. | Foto: nltimes.nl
Cyberthreat.id - Polisi Belanda menangkap dua orang pada hari Jumat lalu lantaran diduga menjual data pasien terkait Covid-19 yang berasal dari database Kementerian Kesehatan negara itu.
Seperti diberitakan ZDnet, Selasa (26 Januari 2021), penangkapan terjadi setelah investigasi media Belanda RTL Nieuws menemukan data itu diiklankan di aplikasi aplikasi pesan instan seperti Telegram, Snapchat, dan Wickr.
Iklan tersebut terdiri dari foto-foto tangkapan layar komputer yang memperlihatkan data pribadi warga Belanda yang terinfeksi Covid-19. Dengan kata lain, data itu bukan hasil peretasan, melainkan data dari sistem yang difoto.
Reporter RTL Nieuws mengatakan berbekal foto tangkapan layar itu, dia melacak ke dua sistem IT yang digunakan oleh Dutch Municipal Health Service (GGD) - yaitu CoronIT, yang berisi rincian tentang warga Belanda yang menjalani tes COVID-19, dan HPzone Light, sebuah sistem penelusuran kontak Covid-19.
Menurut RTL Nieuws, data itu telah dijual secara online selama berbulan-bulan dengan harga mulai dari 30 hingga 50 Poudsterling (setara Rp500 ribu hingga Rp950 ribu) per orang .
Pembeli akan menerima detail seperti alamat rumah, email, nomor telepon, tanggal lahir, dan pengenal BSN (nomor jaminan sosial Belanda).
Contoh data yang dijual | Sumber: Rtlnieuws.nl
Dalam siaran pers hari ini, polisi Belanda mengatakan mereka memulai penyelidikan minggu lalu ketika mengetahui adanya iklan itu dan menangkap dua tersangka dalam waktu 24 jam setelah menerima laporan.
Kedua pria itu ditangkap di Amsterdam pada hari Jumat, dan diidentifikasi sebagai pria berusia 21 tahun dari kota Heiloo dan pria berusia 23 tahun dari kota Alblasserdam. Polisi mengatakan telah menggeledah rumah mereka dan menyita komputernya.
Kedua tersangka bekerja di call centre GGD dan punya akses ke sistem dan database resmi COVID-19 pemerintah Belanda. Dengan kata lain, mereka adalah orang dalam.
Nama kedua tersangka, yang dijadwalkan hadir di pengadilan besok, tidak dirilis; sesuai dengan hukum Belanda.
"Karena orang-orang bekerja dari rumah, mereka dapat dengan mudah mengambil foto tampilan layar komputer mereka. Ini adalah salah satu masalah ketika staf administrasi Anda bekerja dari rumah," kata Victor Gevers, Ketua Institut Belanda untuk Pengungkapan Kerentanan, kepada ZDNet.
"Nomor BSN (nomor jaminan sosial Belanda) penting karena ini mempermudah penipuan finansial bagi penjahat," tambah Gevers.
"Bisa juga untuk tujuan pemerasan. Apalagi kalau mereka tahu di mana kamu tinggal," ujarnya.
Pola penjualan data ini mengingatkan pada kebocoran data yang dialami pegiat media sosial Denny Siregar beberapa waktu lalu. Saat itu, data Denny di sistem Telkomsel dibocorkan oleh pegawai kontrak Telkomsel Surabaya dan diberikan kepada pemilik akun Twitter @Opposite6891 yang berseberangan pandangan politik dengan Denny. Akun @Opposite6891 kemudian menyebarkan data Denny Siregar itu di sosial media. Pemilik akun hingga kini belum tertangkap.
Data yang diumbar itu termasuk alamat, NIK dan nomor KK yang dipakai saat registrasi nomor telepon di Telkomsel. Selain itu tercantum pula nomor IMEI, merek ponsel yang digunakan, sistem operasi yang digunakan, tipe kartu, status online paket data, hingga update lokasi terakhir.
Setelah itu, Denny Siregar mengaku mendapat teror hingga ancaman pembunuhan terhadap keluarganya. Denny telah menggugat Telkomsel karena kasus itu.
Mirip Kasus Pembocoran Data Denny Siregar
Pola penjualan data ini mengingatkan pada kebocoran data yang dialami pegiat media sosial Denny Siregar beberapa waktu lalu. Saat itu, data Denny di sistem Telkomsel dibocorkan oleh pegawai kontrak Telkomsel Surabaya dan diberikan kepada pemilik akun Twitter @Opposite6891 yang berseberangan pandangan politik dengan Denny. @Opposite6891 kemudian menyebarkan data Denny Siregar itu di sosial media.
Data yang diumbar itu termasuk alamat, NIK dan nomor KK yang dipakai saat registrasi nomor telepon di Telkomsel. Selain itu tercantum pula nomor IMEI, merek ponsel yang digunakan, sistem operasi yang digunakan, tipe kartu, status online paket data, hingga update lokasi terakhir.
Setelah itu, Denny Siregar mengaku mendapat teror hingga ancaman pembunuhan terhadap keluarganya. Denny telah menggugat Telkomsel karena kasus itu.
Sekretaris Indonesia Cyber Security Forum (ICSF), Satriyo Wibowo, mengatakan, setiap perusahaan atau instansi —tak hanya Telkomsel— harus menerapkan manajemen kontrol akses (access control management) jika kejadian seperti itu tak ingin terulang kembali di lain waktu.
Menurut Bowo, sapaan akrabnya, manajemen kontrol akses menyangkut siapa saja yang bisa mengakses data. Namun, jika ingin pengamanan lebih lanjut, berarti harus ada pembahasan tentang tata kelola data (data governance) dan penerapan user entity behavior analysis (UEBA). (Selengkapnya lihat: Akses Ilegal Data Pribadi Denny Siregar termasuk Insider Threat, Bagaimana Pencegahannya?).[]
