Yang Terjadi pada Saya Setelah Data BPJS Bocor
Tangkapan layar di RaidForums. | Foto: Cyberthreat.id/Oktarina Paramitha Sandy
TIING! Sebuah notifikasi masuk ke ponsel saya siang ini, Senin, 24 Mei 2021, pukul 13.23 WIB. Itu adalah pemberitahuan email masuk. Pengirimnya dari Bank Mandiri. Saya yang sedang makan siang, segera membuka email itu. Siapa tahu ada hal penting.
Namun, saya kaget ketika melihat isi emailnya. Dikatakan, saya baru saja mengajukan aplikasi pembukaan rekening elektronik (e-Form) di situs web Bank Mandiri pukul 13.23 WIB. Email itu melampirkan nomor referensi e-Form yang harus saya bawa ke kantor cabang Bank Mandiri untuk pembukaan rekening baru.
Tentu saja saya kaget dibuatnya. Sepanjang hari ini, saya tidak menyentuh situs web Bank Mandiri. Apalagi mengajukan pembukaan rekening baru. Jadi, jelas sudah, ada orang lain yang menggunakan alamat email saya untuk membuka rekening baru di Bank Mandiri.
Saya kemudian membalas email itu dengan mengatakan,"Saya tidak mengajukan ini. Mohon dibatalkan. Tampaknya ada orang yang sedang menyamar menjadi diri saya." Saya juga menyebut nomor telepon saya jika sewaktu-waktu Bank Mandiri memerlukannya untuk proses verifikasi. Namun, dua jam berselang, hingga saya menulis ini, tidak ada email balasan dari Bank Mandiri. Tidak ada pula telepon masuk untuk verifikasi ke ponsel saya.
Satu setengah jam berselang dari masuknya email Bank Mandiri, masuk lagi sebuah email lain. Kali ini dari Motorku X. Judulnya: email verifikasi "Motorku X".
"Segera konfirmasi email utuk melakukan verifikasi," begitu bunyi email itu, diserta sebuah tautan link yang harus saya klik untuk memverfikasi pendaftaran.
Lagi-lagi saya dibuat terheran-heran. Jangankan mendaftar di aplikasi itu, nama Motorku X saja baru kali ini saya tahu. Tampaknya, lagi-lagi ada orang yang menggunakan email saya untuk mendaftar di aplikasi online. Walhasil, email itu saya abaikan. Dari Google Play Store, barurlah saya tahu itu adalah aplikasi dari PT Astra International untuk urusan kendaraan bermotor.
Dua hari sebelumnya, pada 22 Mei 2021, pukul 20:37 WIB, masuk email pemberitahuan dari Google yang mengirim kode verifikasi akun Google saya. Kode berisi 6 angka itu, dibutuhkan untuk memverifikasi login ke akun Google. Biasanya, kode itu dikirim saat seseorang lupa password untuk login. Lantaran saya tidak melakukannya, lagi-lagi ini adalah upaya orang lain untuk mengambil alih akun Google saya. Lantaran saya tidak melakukannya, saya mengabaikan email itu.
Upaya ini bisa berhasil jika si pelaku bisa menebak atau mendapatkan password email saya. Di sinilah bahayanya kebocoran data online. Jika saya menggunakan password yang sama di banyak akun online, maka begitu satu akun bocor, maka si penjahat siber akan menggunakan password saya di akun yang bocor untuk mngambil alih akun Google saya. Jika itu terjadi, maka tentu upaya pembukaan rekening baru bank Mandiri dan upaya login ke aplikasi Motor X oleh penjahat siber atas nama saya, tentu akan berhasil. Sebab, verifikasi apa pun yang masuk ke email, sudah berada dalam genggaman si pelaku.
Saya lantas mencoba mengingat-ingat mengapa email verifikasi bisa bertubi-tubi masuk ke email saya, padahal saya tidak melakukan seperti yang disebut di email itu.
Pikiran saya langsung tertuju ke bocornya data BPJS beberapa hari sebelumnya. Sulit untuk tidak menghubungkan kejadian ini dengan bocornya data BPJS yang oleh si penjual data disebut berisi data pribadi milik 279 juta masyarakat Indonesia. Selain nomor BPJS, data itu juga memuat nama lengkap (beserta nama anggota keluarga yang ditanggung oleh si kepala keluarga), tempat tanggal lahir, nomor ponsel, alamat email, Nomor Induk Kependudukan (NIK), dan lainnya.
Data itu, di forum online RaidForums dijual seharga Rp84 juta. Bayangkan saja, betapa rentannya nasib para korban yang datanya tercantum di sana. Data milik mereka, termasuk saya, yang mungkin sudah mati-matian menjaga kerahasiaan data pribadinya, eh, bocornya malah karena kelalaian lembaga negara selaku pemroses data pribadi.
Terkait dengan BPJS, tiga bulan lalu saya mencoba mendaftar untuk menggunakan aplikasi "Mobile JKN" milik BPJS. Si petugas menanyakan beberapa data, termasuk nama ibu kandung saya. Tiba di pertanyaan ini, saya bertanya kepada si petugas,"Untuk apa meminta nama ibu kandung saya? Itu kata kunci yang terhubung ke akun perbankan saya. Jika data itu bocor, apakah Anda mau tanggung jawab?"
Si petugas menjawab bahwa prosedurnya memang begitu, dan dia hanya mengikuti prosedur dari pusat. Walhasil, saya menolak memberikan data itu.
Saya kemudian mencoba login ke aplikasi Mobile JKN. Untuk bisa login, saya diminta memasukkan alamat email. Setelah saya masukkan, muncul pemberitahuan bahwa saya tidak bisa mendaftar sebagai pengguna baru karena alamat email yang saya masukkan sudah terdaftar. Karena itu, saya diminta login sebagai pengguna lama dan diminta memasukkan password.
Tentu saja saya bingung dibuatnya. Saya sendiri belum pernah mengunduh aplikask Mobile JKN sebelumnya, bagaimana bisa email saya sudah terdaftar sebagai pengguna aplikasi Mobile JKN? Saya cek lagi di email, siapa tahu saya memang pernah mendaftar tapi lupa. Siapa tahu pernah ada email dari BPJS yang memverifikasi bahwa alamat emil yang saya masukkan memang benar milik saya, seperti hari ini saya terima dari Motorku X (meskipun yang ini bukan saya yang lakukan, tapi ada prosedur verifikasinya). Hasilnya, saya tidak menemukan satu pun arsip email dari BPJS yang meminta saya mengkonfirmasi alamat email (bahkan jika itu didaftarkan oleh orang lain).
Lantaran email itu tidak bisa digunakan untuk login, akhirnya saya tidak bisa menggunakan aplikasi Mobile JKN. Ya sudah, nanti-nanti saja ajukan komplainnya, pikir saya.
Itu kejadiannya beberapa bulan yang lalu. Kini, setelah berita kebocoran data BPJS merebak, saya teringat lagi kejadian yang saya alami itu: bagaimana bisa karena email saya dipakai oleh orang lain tanpa sepengetahuan saya membuat saya tidak bisa menggunakan aplikasi Mobile JKN? Mengapa tidak ada proses verifikasi bahwa email saya yang dipakai oleh orang lain itu adalah benar-benar milik orang itu?
Tadi malam, saya berpikir untuk mengecek apakah data saya termasuk dalam sampel data BPJS bocor. Untuk itu, saya perlu nomor BPJS saya. Tapi sialnya, saya tak ingat lagi nomornya. Kartu BPJS saya tercecer entah di mana. Saya kemudian mencoba mengeceknya lewat SMS Gateway dengan mengirim Nomor Induk Kependudukan lewat SMS ke nomor 087775500400. Hasilnya? Gagal! Saya coba cek lewat situs bpjs-kesehatan.co.id, tapi tautan untuk pengecekan sudah dinonaktifkan.
Walhasil, saya coba pilihan terakhir dengan menghubungi Call Center BPJS di nomor 1500400. Tersambung. Di ujung telepon, seorang CS bertanya apa yang bisa dibantu. Saya sampaikan bahwa saya lupa nomor BPJS dan ingin menggunakannya untuk login ke aplikasi Mobile JKN.
Si petugas kemudian memverifikasi data saya dengan menanyakan nama lengkap, tanggal lahir, nama ibu kandung, siapa saja anggota keluarga yang saya tanggung, dan saya bekerja di mana sekarang. Setelah mencocokkan datanya dengan yang tersimpan di BPJS, si petugas kemudian menyebut nomor BPJS saya.
Setelah mendapatkan nomornya, saya kemudian mengunduh lagi aplikasi Mobile JKN yang sebelumnya sempat saya hapus karena tidak bisa digunakan. Seperti sebelumnya, saya harus mendaftar dulu sebagai pengguna Mobile JKN. Saya klik menunya, lalu muncul beberapa kolom yang harus saya isi, yaitu: Nomor Kartu BPJS, Nomor Handphone, Password, dan Konfirmasi Password.
Saya kemudian memasukkan Nomor Kartu BPJS yang saya dapatkan dari hasil menghubungi CS tadi, lalu memasukkan nomor telepon yang saya pakai sekarang. Saat memasukkan nomor telepon, muncul masalah lagi: ada pemberitahuan bahwa nomor yang saya masukkan berbeda dengan nomor yang tercatat di sistem BPJS.
"Jika terdapat perbedaan data, Anda dapat melakukan perubahan nomor handphone dengan cara menghubungi BPJS Kesehatan Care Center 1500400," begitu bunyi pesan yang muncul.
Itu artinya, saya harus kembali menelpon Call Center BPJS untuk meminta agar nomor telepon lama yang terdaftar, diganti dengan nomor yang saya pakai sekarang.
Si petugas kemudian kembali meminta data-data pribadi untuk konfirmasi identitas. Seperti sebelumnya, dia kembali menanyakan nama lengkap saya, tanggal lahir, nama ibu kandung, siapa saja nama-nama anggota keluarga yang saya tanggung BPJS-nya, dan dimana saya bekerja.
Setelah saya menyebutkan itu, si petugas kemudian meyakini itu adalah saya yang sebenarnya, bukan orang lain yang mencoba menyamar menjadi saya. Dia kemudian mengatakan telah mengubah data nomor telepon saya sesuai yang saya minta. Tetapi, dia menekankan bahwa perubahan baru akan efektif setelah 24 jam. Artinya, saya harus menunggu 24 jam lagi untuk bisa mendaftar sebagai pengguna aplikasi Mobile JKN (hingga saya menulis ini, saya belum bisa mendaftar karena masih muncul pesan nomor teleponnya masih nomor lama).
Saya tiba-tiba teringat sesuatu. Bagaimana jika saya adalah orang yang membeli data lebih dari 200 juta warga RI yang terdaftar di BPJS? Bukankah saya akan bisa berpura-pura menjadi mereka dan dapat menelepon Call Center BPJS untuk meminta mengubah data nomor ponsel mereka yang terdaftar? Soal data untuk verifikasi? Kan si pembeli datanya sudah punya detail data yang dibutuhkan untuk diverifikasi oleh petugas Call Center: mulai dari nama lengkap, nomor BPJS, daftar anggota keluarga yang ditanggung, nama ibu kandung, dan lainnya.
Dengan mengubah nomor telepon yang terdaftar, itu artinya si pelaku akan mendapatkan semua otentikasi OTP yang dikirim ke ponsel. Bukankah sudah ada beberapa contoh pembobolan akun bank setelah nomor teleponnya diambil alih oleh penjahat siber? (Lihat: 8 Tersangka Sindikat SIM Swapping Iham Bintang Ditangkap dan Nasabah BTN yang Kehilangan Saldo Rp 2,96 Miliar Akan Gugat Telkomsel Terkait Penipuan SIM Swap)
Gila! Ini benar-benar edan. Pikir saya. Yang terjadi pada saya adalah level terendah dari kemungkinan penyalahgunaan data yang bocor. Dalam level lebih tinggi, bisa jadi melibatkan pembobolan rekening bank, peminjaman dana menggunakan data orang lain, pengambilalihan nomor telepon, dan lain-lain.
Masalahnya, adakah yang peduli soal ini? Adakah yang peduli nasib lebih dari 200 juta orang peserta BPJS yang mungkin datanya kini telah berada di tangan penjahat siber?
Sayangnya, kita belum melihat ada langkah-langkah antisipasi yang sigap dari lembaga terkait untuk mengamankan data-data itu agar tidak disalahgunakan untuk penipuan dan pembobolan akun online lainnya.
Data itu sudah ditawarkan di RaidForums sejak 12 Mei 2021, dan baru heboh setelah diberitakan ramai-ramai oleh media massa.
Kementerian Kominfo, misalnya, alih-alih melakukan upaya-upaya untuk melindungi masyarakat pemilik data, malah diam-diam menghapus kalimat "sampel data diduga kuat identik dengan data bPJS Kesehatan" yang sebelumnya tercantum dalam siaran persnya. Namun, di situs web Kominfo.go.id, kalimat itu malah diam-diam sudah dihapus. (Lihat: Kominfo Diam-diam Hapus Kalimat ‘Sampel Data Diduga Kuat Identik BPJS Kesehatan’ di Siaran Persnya).
Selain itu, Kominfo juga sudah memblokir RaidForums dengan alasan mencengah penyebaran data. Masalahnya, penjahat siber tentu tidak bodoh. Blokir geografis yang diterapkan oleh Kominfo, tidak akan efektif bagi pengguna VPN. Blokir itu hanya efektif untuk membuat orang-orang tidak tahu datanya sedang diperjualbelikan di RaidForums!
Sementara BPJS sendiri, alih-alih meminta warga mengamankan akun onlinenya, yang terjadi malah BPJS bersikukuh bahwa mereka telah menerapkan standar keamanan data berlapis. Padahal, yang perlu dilakukan hanya mengecek log server dan memberitahu masyarakat Indonesia apa yang sesungguhnya terjadi, sehingga masyarakat dapat mengambil langkah-langkah yang diperlukan untuk mengantisipasi datanya disalahgunakan oleh penjahat siber.
Bicara keamanan siber, tentu tak lepas dari peran Badan Siber dan Sandi Negara (BSSN). Lembaga ini harusnya berrtanggung jawab mencegah bocornya data yang dikelola oleh lembaga pemerntah. BSSN harusnya adalah penyedia benteng pertahanan bagi data masyarakat yang dipegang lembaga pemerintah. Namun, yang terjadi, BSSN baru masuk jika ada permintaan dari instansi pemerintah lain. Walhasil, jadilah BSSN seperti lembaga pemadam kebakaran yang bergerak setelah kejadian, setelah data 200-an juta warga RI digondol maling.
Karena itu, jangan heran jika dalam pekan-pekan ke depan, akan lebih banyak orang-orang yang mengalami seperti yang saya alami, termasuk permintaan konfirmasi akun perbankan, sementara Anda tak pernah melakukannya.
Apa boleh buat, terimalah kenyataan bahwa kita hidup di Indonesia. Negara yang sudah bertahun-tahun menyebut data pribadi warganya harus dilindungi, tapi aturan hukumnya berupa UU Perlindungan Data Pribadi tak kunjung selesai dibahas bertahun-tahun. Kabar terbaru menyebutkan, salah satu kendalanya karena Kominfo bersikukuh lembaga pengawas data pribadi harus di bawah pemerintah, tepatnya dalam kendali Kominfo. Apa yang bisa kita harapkan dari lembaga yang telah menghapus kalimat "data yang bocor itu identik dengan data BPJS" di situs webnya itu? Sementara dari sampel data yang beredar, jelas data itu adalah data BPJS Kesehatan.
Berkaca dari kasus BPJS ini, saya ingin mengingatkan anggota DPR RI: bentuklah lembaga independen, tolak Kominfo jadi lembaga pengawas data pribadi! []
Penulis adalah editor Cyberthreat.id. Opini bersifat pandangan pribadi
Baca juga:
