Pakar: Jika Data Tokopedia, Bukalapak, Dikombinasikan dengan Data KPU yang Bocor, Ini Berbahaya
Teaser data KPU yang bocor dan ditawarkan di pasar gelap
Cyberthreat.id - Chairman lembaga riset siber Indonesia Communication & Information System Security Research Center (CISSReC) Pratama Persadha mengatakan bocornya data pemilih KPU yang ditawarkan di pasar gelap sangat berbahaya jika disebar dan digunakan oleh hacker untuk kegiatan kriminal, khususnya data seperti nomor KTP dan Kartu Keluarga (KK).
"Data yang disebar tanpa enkripsi sama sekali. Nomor KTP dan KK bersamaan bisa digunakan untuk mendaftarkan nomor seluler dan juga melakukan pinjaman online bila pelaku mahir melengkapi data," kata Pratama dalam siaran pers, Jumat (22 Mei 2020).
Seperti diketahui publik Tanah Air kembali dikejutkan kabar bocornya 2,3 juta pemilih dari KPU. Akun twitter @underthebreach yang mencuitkan hal ini sebagaimana mengabarkan kebocoran data Tokopedia beberapa waktu lalu. Saat dicek di Raid Forums, data yang disajikan plain dan bisa di-download member secara gratis.
Data yang disebar di forum internet mencakup nama, jenis kelamin, alamat, nomor KTP dan KK, tempat tanggal lahir, usia, status lajang atau menikah. Data yang disebar pelaku adalah data 2013, setahun sebelum pemilu 2014, sebagian besar data pemilih di Yogyakarta. Akun yang menyebarkan di Raid Forums adalah Arlinst.
"Saat dicek kembali, halaman yang dibuka oleh akun Arlinst ini sudah hilang. Bahkan saat dicek di twitter banyak akun yang mentracking akun Arlinst dan mencurigai akun tersebut sedang mencari sensasi, terlihat dari beberapa akun medsos dan marketplace-nya," tegas Pratama.
Berita Terkait:
- Soal Kebocoran Data Pribadi Pemilih, KPU: Data Itu Bersifat Terbuka
- Data Pemilih Bocor, KPU Bisa Dikenai Sanksi Sebagai PSE Publik
- Breaking News: Dua Juta Data Pribadi Warga Indonesia Ditawarkan di Forum Hacker, Dicuri dari KPU
- Data Pemilu Sering Jadi Incaran Hacker, Negara Harus Tanggapi Serius
Terakhir di Raid Forums terpantau data sudah di-download oleh sekitar 100 akun. Untuk men-download harus memiliki minimal 8 kredit, yang setiap 30 kredit harus dibeli seharga 8 euro via Paypal.
"Meski KPU menjelaskan bahwa itu adalah data terbuka, tapi bukan berarti tidak perlu dilindungi. Bukan informasi rahasia, tapi informasi yang perlu dilindungi minimal di-enkripsi agar tidak sembarangan orang bisa memanfaatkan."
"Apalagi verifikasi data DPT hanya perlu data NIK, bukan semua data dijadikan satu apalagi tanpa pengamanan," tegasnya.
Kombinasi Data Breach
Pratama mengatakan bila data KPU yang bocor dikombinasikan dengan data Tokopedia dan Bukalapak yang lebih dulu terekspos, maka akan dihasilkan data yang cukup berbahaya dan bisa dimanfaatkan untuk kejahatan.
"Misalnya mengkombinasikan data telepon dari marketplace dengan data KTP dan KK, jelas ini sangat berbahaya," terangnya.
Peristiwa ini, kata dia, harus menjadi peringatan bagi Dukcapil agar bisa mengamankan data kependudukan. Perlu dipikirkan lebih jauh terkait pengamanan enkripsi pada data penduduk.
Pertanyaan selanjutnya adalah bagaimana pengamanan sistem IT KPU Apalagi ada agenda Pilkada tahun 2020. Jangan sampai ini menjadi isu tersendiri bagi KPU. Menurut Pratama, sistem IT KPU selama ini selalu dijadikan rujukan saat hitung cepat hasil pemilu maupun pilkada.
"Kita tentu khawatir, setiap gelaran pemilu dan pilkada KPU selalu mendapat ancaman untuk diretas. Bagi Dukcapil, kerawanan ini harus menjadi catatan penting untuk waspada. Jangan sampai sistem ditembus dan hacker bisa memodifikasi sesuka mereka."
Pratama melihat ada kemungkinan data yang disebar sebelumnya sudah ada di publik. Pasalnya, data pemilu 2014 sudah lama tersebar di forum internet. Seluruh data DPT ternyata juga di share ke beberapa stakeholder KPU. Tetapi, kalau melihat isi folder DPT DIY yang ikut dipublish, sepertinya ada kemungkinan memang si hacker bisa masuk ke sistem IT KPU atau sistem IT stakeholder KPU yang juga memiliki data ini.
"Untuk memastikannya harus segera dilakukan audit keamanan informasi atau audit digital forensik ke sistem IT KPU untuk menjawab isu kebocoran data ini," kata dia.
Audit ini bisa menemukan sebab dan celah kebocoran sistem kalau memang terjadi. Kalau dugaan pelaku bisa masuk ke server KPU, ada kemungkinan tidak hanya DPT yang mereka ambil, tapi juga bisa mengakses hasil perhitungan Pemilu.
"Secara teknis kalau peretas bisa mencuri data, ada kemungkinan juga bisa merubah data. Sangat bahaya sekali apabila hasil pemungutan suara pemilu diubah angkanya."
