Kominfo Sebut Ada Dugaan Celah Keamanan di Sistem BRI Life

Cyberthreat.id – Kementerian Komunikasi dan Informatika RI mengatakan memang terdapat dugaan celah keamanan dalam sistem elektronik BRI Life yang disalahgunakan oleh pihak-pihak yang tidak bertanggung jawab.

Hal itu disampaikan oleh Juru Bicara Kemenkominfo Dedy Permadi dalam keterangan tertulisnya yang diterima Cyberthreat.id, Rabu (28 Juli 2021) malam menyikapi pemberitaan dugaan kebocoran data nasabah BRI Life.

Berita Terkait:

• 2 Juta Data Pribadi Diduga Nasabah BRI Life Dijual Seharga US$7.000
• Hasil Investigasi Temukan Peretasan di Sistem BRI Life Syariah

Dedy mengatakan, pada hari ini Kemenkominfo telah memanggil Direksi PT Asuransi BRI Life sebagai pengelola data pribadi yang diduga bocor sebagai bagian investigasi. Pemanggilan tersebut, kata dia, sesuai dengan amanat Peraturan Pemerintah Nomor 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE). (Baca

Dedy mengatakan, Kementerian Kominfo akan menindaklanjuti hasil pertemuan tersebut dengan melakukan komunikasi intensif dengan BRI Life dan memberikan pendampingan terhadap upaya BRI Life dalam mengamankan sistem maupun tata kelola data yang ada.

Menyikapi adanya dugaan temuan celah keamanan itu, “BRI Life telah mengambil langkah responsif untuk menghentikan upaya akses secara tanpa hak tersebut,” ujar Dedy.

Selain itu, “BRI Life juga sedang melakukan pemeriksaan mendalam terhadap keamanan sistem elektronik yang mereka kelola dengan menggandeng konsultan forensik digital dan tim internal BRI Life,” ia menambahkan.

Selanjutnya, menurut Dedy, BRI Life akan menyampaikan temuan-temuan hasil pemeriksaan yang dilakukan kepada pihak-pihak terkait sesuai amanat UU.

Sebab, sesuai amanat Pasal 35 PP 71/2019, Kementerian Kominfo berwenang melakukan pemeriksaan terhadap penyelenggaraan sistem elektronik (PSE). Upaya ini dilakukan dalam koordinasi bersama Badan Siber dan Sandi Negara sebagai lembaga yang memiliki kewenangan menyusun kebijakan keamanan sistem elektronik sebagaimana diatur oleh Pasal 24 PP 71/2019.

“Koordinasi juga dilakukan bersama dengan Polri sebagai otoritas penegak hukum tindak pidana ITE, sesuai amanat UU Informasi dan Transaksi Elektronik,” ujar Dedy.

Berdasarkan landasan hukum tersebut, Kementerian Kominfo akan terus berkoordinasi dengan BSSN dan Polri untuk penanganan lebih lanjut terhadap dugaan kebocoran data pribadi ini.

Sebelumnya, 2 juta data pribadi nasabah BRI Life ditawarkan di forum jual beli data oleh akun bernama "reckt" pada Selasa (27 Juli).

Terdapat 463.519 file dokumen dengan ukuran mencapai 252 GB dan basis data berisi 2 juta nasabah BRI Life berukuran 410 MB. Untuk sampel sendiri yang diberikan reckt berukuran 2,5 GB. Dua file lengkap tersebut ditawarkan dengan harga US$7.000  (sekitar Rp101 juta) dan dibayarkan dengan Bitcoin.

Dari sampel tersebut, datanya sangat lengkap. Mulai data mutasi rekening, bukti transfer setoran asuransi, KTP, dan KK. Ada juga tangkapan layar perbicangan WhatsApp nasabah dengan pegawai BRI Life, dokumen pendaftaran asuransi, beberapa formulir pernyataan diri dan kesanggupan, bahkan lengkap dengan polis asuransi jiwa.

Ketua lembaga riset siber CISSReC (Communication & Information System Security Research Center), Pratama Persadha, meyakini kuat bahwa sumber basis data itu berasal dari peretasan, bukan jual beli data dari pihak internal atau pegawai.

“Bila diperhatikan dari tangkapan layar yang dibagikan Hudson Rock, data jelas diambil karena pembobolan situs. Bisa dilihat bagaimana situs-situs BRI Life disebutkan, bahkan beserta username atau akun login, password dan IP,” tutur Pratama dalam keterangan tertulisnya yang diterima Cyberthreat.id, Rabu.

“Artinya dari klaim Hudson Rock sebagai pihak yang menginformasikan kebocoran maupun pelaku penjual data, kemungkinan besar benar. Bahwa data yang mereka klaim tersebut memang berisi berbagai data dari nasabah BRI Life,” jelasnya.

Menghilang

Pada Rabu pagi, unggahan penjualan data oleh akun "reckt" tiba-tiba sudah menghilang. Saat Cyberthreat.id mengecek kembali forum tersebut dan mengetikkan kata kunci “bri life”, hasil penelusuran: nihil. Thread yang dibuat oleh “reckt” sudah tidak ada. Jika unggahan itu masih tersedia, akan muncul thread dengan judul “Indonesia Bank BRI Life Insurance Customer Dabatase (2M+) and Documents (463k).

Berita Terkait:

• Bukan Nasabah BRI Life, Pria Ini Membenarkan Datanya Ikut Bocor
• Penawaran Jutaan Data Diduga Nasabah BRI Life Menghilang

Sebelumnya, Hudson Rock turut mengidentifikasi terkait penjualan data pribadi nasabah BRI Life tersebut. Mereka menduga beberapa komputer karyawan BRI Life dan Bank Rakyat Indonesia (BRI) telah diretas. Peretasan itulah yang kemungkinan berdampak pada bocornya data nasabah BRI Life.

"Kami mengidentifikasi beberapa komputer karyawan BRI Life dan Bank Rakyat Indonesia disusupi yang mungkin telah membantu peretas mendapatkan akses awal ke perusahaan," kata Hudson Rock dalam sebuah pernyataan yang diunggah di Twitter pada Selasa (27 Juli).

Hudson Rock juga menampilkan data hasil pelacakan di domain BRI Life (brilife.co.id) dan Bank BRI (bri.co.id) seperti terlihat di bawah ini.

Merespon temuan itu, Direktur Utama BRI Life Iwan Pasila mengatakan pihaknya sedang menyelidiki klaim bahwa data pribadi pelanggannya telah ditawarkan untuk dijual oleh peretas tak dikenal.

"Kami sedang melakukan pengecekan dengan tim dan akan memberikan update segera setelah investigasi selesai," kata Iwan Pasila melalui pesan singkat seperti dilansir Reuters, Selasa.

Sementara, Rabu pagi, Kepala Bagian Humas-CSR BRI Life, Pinky Evianty mengirimkan pernyataan tertulis kepada Cyberthreat.id, seperti di bawah ini:

BRI Life bersama dengan tim independen yang memiliki spesialisasi di bidang cyber security tengah melakukan penelusuran jejak digital dalam rangka investigasi dan melakukan hal-hal yang diperlukan guna meningkatkan perlindungan data pemegang polis BRI Life. Hal tersebut sebagai tindak lanjut atas adanya berita di beberapa social media baru-baru ini.

BRI Life tidak pernah memberikan data pribadi kepada pihak-pihak yang tidak bertanggung jawab. Apabila ada permintaan data pribadi yang mengatasnamakan atau mengkaitkan dengan kepemilikan polis di BRI Life, maka pemegang polis diharapkan dapat menghubungi layanan resmi kami melalui Call Center di Nomor 1500087, WhatsApp Corporate 0811-935-0087 atau email cs@brilife.co.id.

Corporate Secretary BRI Life, Ade Nasution, mengungkapkan BRI Life menjamin hak pemegang polis sesuai dengan polis yang dimiliki. “BRI Life terus melakukan upaya maksimal untuk melindungi data pemegang polis melalui penerapan tata kelola teknologi informasi dan tata kelola data sesuai ketentuan dan standar serta peraturan perundang-undangan yang berlaku,” ujarnya.

“BRI Life berkomitmen untuk terus memberikan perlindungan asuransi jiwa bagi sebanyak mungkin masyarakat di Indonesia dan akan terus mengembangkan penerapan prinsip tata kelola perusahaan yang baik sesuai dengan ketentuan yang berlaku,” ujar Ade.[]