PENJUALAN DATA PASIEN WNI – ASTARTE

Peretas: Saya Mengeksploitasi Seorang Pegawai Kemenkes

Tangkapan layar penjualan data pasien WNI di forum internet. | Foto: Cyberthreat.id/Andi Nugroho

Cyberthreat.id – Data itu berisi macam-macam foto riwayat sakit pasien. Ada foto anak kecil terbaring di ranjang. Pasien patah kaki. Luka parah di bagian kelamin. Hingga hasil tes Covid-19.

Ada hasil laboratorium yang dikeluarkan RS St Carolus Jakarta tertanggal Oktober 2021. Terdapat surat pernyataan tertulis pasien, dalam sesobek kertas, yang menyatakan bahwa dirinya rela diisolasi di IGD RS Moewardi Solo.

Bahkan, ada lembaran keterangan bagian radiologi dari RS Umum Lasinrang yang dikeluarkan November 2021.

Anda tahu di mana RSU Lasinrang? Lokasinya di Kabupaten Pinrang, Sulawesi Selatan. Untuk mengakses RS tersebut, kita harus menempuh jarak sejauh 185 kilometer dari Makassar ke arah utara, berbatasan dengan Kabupaten Polawali Mandar di Sulwesi Barat.

Informasi sebagian itu sudah bisa menunjukkan sangat kompleksnya isi dari tumpukan data itu. Sulit memastikan dari mana saja data tersebut diperoleh.

Namun, dari file-file foto yang dikumpulkan peretas dalam sampel data berukuran 3,11 GB, tampak file itu diunduh dari WhatsApp. Ini karena di filename foto terdapat tulisan “WhatsApp Image”. Ada yang bertahun 2020 hingga 2021.

Hampir semua foto diambil dengan kamera smartphone dan tangkapan layar. Pelacakan acak Cyberthreat.id dari metadata file, misalnya, sebagian foto diambil dengan smartphone merek OPPO Reno4, Samsung SM-M205G, Samsung SM-G935F, atau Samsung SM-A315G.

Lembaran-lembaran hasil lab dan foto pribadi pasien beserta lukanya harusnya tidak mudah diabadikan seseorang dengan kamera ponsel atau apa pun, kecuali memang terdapat mekanisme penyimpanan aman dan jaminan tidak bocor. 

Belum lagi, peretas tersebut menyatakan juga memiliki informasi pribadi seperti: nama lengkap, no_kontak, alamat, tempat_lahir, tgl-lahir, jk, no_kartu_jkn, dan NIK. Informasi seperti ini adalah basis data kesukaan para telemarketing jahat atau penjahat siber untuk aksi penipuan dan social engineering.

Itulah sebagian sampel data yang dibagikan peretas dengan nama akun “Astarte” yang dilihat Cyberthreat.id. Tak tega melihat data-data pasien itu dijual, apalagi dibagikan secara bebas, sangat miris.

Peretas mengaku memiliki 720 gigabita (GB) data pasien WNI. Ia mengklaim bahwa data-data tersebut diambil dari server terpusat Kementerian Kesehatan RI.

Data yang dijualnya itu diunggah pada Rabu (5 Januari) pada pukul 04.23 dengan judul “Indonesia-Medical Patients Information 720 GB Documents and 6M database.”

Data foto dokumen terbagi dalam tiga folder:

  • “ECG atau EKG folder” (electrocardiogram) berukuran 199GB dengan 238.999 files,
  • “laboratory folder” dengan 479GB berisi 753.504 files, dan
  • ”radiology folder” dengan 42GB berisi 43.630 files.

Bukan pasien Covid-19

Pakar keamanan siber Pratama Persadha mengatakan, seharusnya data-data itu tidak boleh bocor karena sudah privasi pasien.

“Jangankan orang lain atau pelaku kejahatan yang tidak dikenal, keluarga pasien saja belum tentu mengetahui dan mendapatkan data dari foto-foto yang begitu vulgar tersebut,” katanya.

Dari foto-foto yang dilihatnya, kemungkinan sebagian besar seperti korban kecelakaan atau penyakit keras. “Tapi, kemungkinan memang bukan pasien yang terkena Covid,” kata Chairman Communication & Information System Security Research Center (CISSReC), sebuah lembaga riset siber di Indonesia.

Pratama mengatakan, sebenarnya si penjual data sudah memberikan peringatan NSFW (Not Safe For Work) bahwa sampel data yang diberikan mengandung gambar medis yang ekstrem. Yang artinya bahwa isi konten mengandung pornografi dalam kacamata medis dan sangat mengganggu jika dibuka di publik.

“Sampai saat ini belum dipastikan bahwa data bocor tersebut pasti berasal dari data Kemenkes, karena hanya pihak Kemenkes dan Badan Siber dan Sandi Negara sendiri yang bisa menentukan,” ujarnya.

Ia mengatakan sekali lagi bahwa data-data itu sangat berbahaya dan riskan, karena pelaku kejahatan bisa menarget individu dari data-data tersebut. Contohnya berpura - pura mengaku dari rumah sakit atau dokter yang merawat.

“Sudah berkali-kali kejadian kebocoran seperti ini, sebaiknya pemerintah dan DPR bisa sepakat untuk menggolkan UU PDP secepatnya,” tuturnya.

Wartawan Cyberthreat.id Andi Nugroho telah mengontak peretas melalui pesan daring Telegram, Kamis (6 Januari 2022) siang. Berikut cuplikan wawancaranya:

Cyberthreat.id: Halo selamat pagi…

(Pesan dikirimkan pada pukul 09.30, tapi peretas baru menjawab dua jam kemudian).

Peretas: English, mate.

Bisakah kita ngobrol tentang unggahan ada di forum “A”?

Apa yang ingin Anda ketahui?

Apakah data itu benar-benar diambil dari server Kemenkes RI?

Iya, benar.

Bagaimana Anda mendapatkannya? Adakah kerentanan di server, lalu Anda meretasnya? Atau, mungkin data berasal dari orang dalam?

Nah, saya mengambil dari komputer lokal mereka.

Maksud Anda? Anda orang dalam? Anda seorang vendor di Kemenkes?

Bukan, saya bukan [orang dalam maupun vendor, red]. Saya hanya mengeksploitasi satu orang pegawai.

Mengeksploitasi pegawai? Dengan malware yang diunduh atau social engineering?

Ya, something like that.

(Ia tak menjelaskan lagi seperti apa eksploitasi yang dilakukan. Apakah ia melakukan email phishing untuk mendapatkan kredensial akun atau hal lain, tak ada penjelasan soal itu. Umumnya, dalam sebuah peretasan yang mengeksploitasi manusia, jika tidak melalui phishing, bisa melalui unduhan malware, dan yang paling besar peluangnya ialah kerja sama dengan orang dalam.)

Ngomong-ngomong, Anda ini orang Indonesia?

Bukan, saya bukan orang Indonesia.

Jadi, dari mana Anda?

Saya dari “jalanan”.

Butuh berapa lama Anda mengeksploitasi pegawai Kemenkes?

Saya tidak begitu ingat, saya kira butuh waktu empat bulan.

Anda mendapatkan akun kredensial dari pegawai itu?

Saya tidak menyebutkan saya mendapatkan kredensial, sobat. Saya mendapatkan koneksi ke komputer.

Anda yakin itu benar dari server Kemenkes? Bisakah beri saya sedikit bukti?

Ya, terserah, sobat. Saya tidak bisa. Mereka telah memotong “my magic”.

Maksudnya, Kemenkes telah memblokir akses Anda?

Saya tidak yakin itu karena firewall atau orang menyebalkan (shitty) menemukan “my magic”.

Berapa harga data tersebut?

Harga tertinggi saya US$150.000 (sekitar Rp 2 miliar) untuk seluruhnya dan akan dijual ke satu orang saja.

Jadi, sampai sekarang berapa orang yang telah mengontak Anda?

Saya tidak menghitungnya, mungkin 30-40 orang.

Apakah mereka telah membelinya?

No, mereka bereng***k.(bintang dari penulis, red)

Anda hanya akan menjual ke satu orang saja, begitu?

Tergantung, jika mereka melakukan negosiasi, saya akan menjual dua atau tiga orang.

Apakah Anda tidak merasa cemas bahwa polisi akan memburumu?

Jika Anda mencuri barang dari orang lain, apakah kamu cemas, sobat?

Ya, tentu saja. Jika Anda cemas mengapa mencurinya?

Saya kira, kita akan bertemu lagi, sobat.[]