Analisis Insiden Kebocoran 1,3 Miliar Data Kartu SIM Indonesia
Mentor : Rizki Yugitama, S.S.T.TP., M.T
Team :
Faisal Muhammad Audito Andrian
Miranti Apriliani
Nathan Nurdadyansyah
Grace Tri Putri Simarangkir
Ferry Ananda Febian
A. Pengertian Data Pribadi
Data pribadi merupakan hal yang cukup kompleks dikarenakan di Indonesia sendiri belum memiliki regulasi setingkat Undang-Undang yang mengatur hal tersebut. Sehingga pengaturannya tersebar di beberapa regulasi yang ada seperti UU Nomor 23 Tahun 2006 sebagaimana diubah oleh UU 24 Tahun 2013 tentang Administrasi Kependudukan, hingga Peraturan Menteri Kominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. Dalam Undang-Undang Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi Publik, disampaikan bahwa setiap badan publik wajib membuka akses bagi setiap pemohon informasi publik untuk mendapatkan informasi publik, kecuali informasi publik yang apabila dibuka dan diberikan kepada pemohon dapat mengungkap rahasia pribadi. Namun demikian pendefinisian mengenai rahasia pribadi sendiri belum ada hal yang mengatur secara spesifik.
Adapun yang termasuk dalam rahasia pribadi adalah; riwayat dan kondisi anggota keluarga, riwayat kondisi dan perawatan, pengobatan, kesehatan fisik dan psikis seseorang, kondisi keuangan, aset, pendapatan, dan rekening bank seseorang, hasil evaluasi kapabilitas, intelektualitas, dan rekomendasi seseorang, dan/atau catatan menyangkut pribadi seseorang berkaitan dengan kegiatan satuan pendidikan formal dan satuan pendidikan nonformal.
Di era digital ini, sangat kecil kemungkinan bahwa pelaku bisnis tidak mengumpulkan atau memegang informasi mengenai identitas pribadi milik pelanggan, partner bisnis, siswa, atau pasien. Setidaknya, sebuah perusahaan atau badan pasti memiliki informasi mengenai karyawannya. Informasi mengenai identitas pribadi meliputi:
- Nomor Induk Kependudukan (NIK)
- Nama
- Alamat
- Tempat tanggal lahir
- Nomor rekening
- Password (jika terdaftar dalam sistem internal)
Jika informasi pribadi ini jatuh ke pihak yang tidak bertanggung jawab, maka data pribadi tersebut menjadi resiko terhadap terjadinya pencurian identitas atau mungkin tindak kejahatan lainnya seperti penipuan, impersonasi, pemerasan dan lainnya. Meski tidak semua informasi pribadi yang terbuka dapat mengakibatkan pencurian identitias, namun informasi yang terbuka dapat menimbulkan dampak yang cukup besar. Salah satu insiden siber yang terjadi terkait data pribadi yaitu dugaan kebocoran registrasi kartu SIM prabayar di Indonesia.
B. Indikasi Terjadinya Insiden Kebocoran Data
1,3 Miliar data registrasi kartu SIM prabayar diduga bocor. Dalam keterangannya pada Rabu siang (01/09), pakar keamanan siber Pratama Persadha menjelaskan bahwa kebocoran tersebut diunggah hari selasa siang 31 Agustus oleh anggota forum situs breached.to dengan nama identitas 'Bjorka' yang juga membocorkan data yang diklaim milik pengguna Indihome. Dua pekan lalu, beredar informasi di media sosial bahwa terdapat 26.730.797 data histori browsing pelanggan IndiHome bocor, termasuk di antaranya KTP, email, nomor ponsel, kata kunci, domain, platform, dan URL.
C. Data Yang Berhasil Di Akses
Data penduduk Indonesia yang diperjualbelikan di forum peretas
Data kartu SIM yang berhasil diakses oleh peretas diperkirakan sebanyak 1,3 miliar dengan ukuran 87 GB dan format CSV, data tersebut mengandung NIK, nomor telepon, nama provider dan tanggal registrasi. Data tersebut ditawarkan seharga 50 ribu dolar AS. Peretas dengan nama Bjorka pun melampirkan 2 juta sampel gratis di forum breached.to .
D. Dampak Dari Pelanggaran
Berdasarkan pernyataan dari Direktur Jenderal Aplikasi Informatika, Semuel Abrijani Pangerapan, bahwa data sampel yang diberikan oleh peretas tidak sama namun ada beberapa kemiripan file. Ia mengatakan terdapat rata-rata 15 hingga 20 persen kemiripan data sampel yang dilaporkan operator seluler dan Dukcapil kepada Kemenkominfo. Namun, ada pula yang hanya sembilan persen saja, tergantung dari operator seluler yang melakukan pengecekan. Data tersebut telah diperjual belikan di sebuah forum peretas. Dengan adanya kebocoran data, masyarakat akan merasa banyak dirugikan. Beberapa kerugian yang dapat dialami masyarakat yaitu :
- Penipuan Via Telepon, banyak terjadi penipuan yang mengatasnamakan pihak bank, rumah sakit, sekolah bahkan pemerintahan untuk meminta sejumlah uang. Ini merupakan salah satu akibat dari bocornya data nomor kartu sim. Penipu akan dapat dengan mudah menghubungi calon korban dan meminta sejumlah uang untuk ditransfer kepada penipu.
- Penyebaran Informasi Palsu, nomor telepon atau nomor kartu sim merupakan sebuah privasi yang harus dijaga kerahasiaannya. Apabila informasi kartu sim ini tersebar di dunia maya, akan banyak orang tidak bertanggung jawab yang melakukan broadcast spam kepada nomor kartu sim yang pada akhirnya akan menimbulkan berbagai kesalahpahaman akan informasi dan masyarakat akan merasa resah.
- Pemalsuan Identitas, salah satu identitas yang digunakan oleh penduduk Indonesia adalah KTP. Kartu Tanda Penduduk ini memiliki nomor unik register berupa NIK yang terdiri dari 16 digit. Pada saat ini, KTP dapat digunakan untuk melakukan transaksi di Bank hingga mendaftar platform pinjaman online yang ilegal. Salah satu akibat dari adanya kebocoran data adalah informasi berupa NIK yang dapat digunakan sebagai identitas palsu dan digunakan oleh orang yang tidak bertanggung jawab. Akibatnya, orang yang memiliki NIK akan memiliki rangkaian masalah yang panjang akibat adanya pemalsuan identitas tersebut.
- Pemetaan Minat Politik, hal ini tentunya berkaitan langsung dengan adanya pemilu pada tahun 2024 yang akan datang. Orang yang mampu memetakan suatu data, maka akan mendapatkan data demografi tentang pandangan politik suatu daerah. Hal ini tentunya melanggar asas pemilu yaitu LUBER JURDIL.
E. Langkah/Penanganan Akibat Insiden
Setelah mendapatkan informasi dugaan kebocoran data, telah dilakukan investigasi atas insiden tersebut, meliputi:
- Memvalidasi data yang diduga bocor dengan data di internal dan instansi terkait, Direktur Jenderal Aplikasi Informatika menyatakan bahwa ada kecocokan data Nomor Induk Kependudukan (NIK) hingga 20 persen dengan data yang dijual oleh peretas di forum gelap. Oleh karena itu kominfo akan melakukan investigasi lebih lanjut bersama jajaran terkait untuk memvalidasi data yang bocor.
- Melakukan himbauan kepada masyarakat, Kominfo menghimbau kepada masyarakat untuk menjaga NIK nya masing-masing agar tidak disalahgunakan oleh oknum yang tidak bertanggung jawab.
- Melakukan koordinasi dan kolaborasi, belum dipastikan bukti valid terhadap area kebocoran data, oleh karena itu Kemenkominfo bekerjasama dengan Ditjen Kependudukan dan Pencatatan Sipil, Badan Siber dan Sandi Negara, Cyber Crime Polri, dan Ditjen Penyelenggara Pos dan Informatika Kementerian Kominfo serta provider telekomunikasi soal kebocoran data sim untuk melakukan investigasi lebih dalam.
F. Vulnerability Assessment Analyst
Berdasarkan beberapa kasus kebocoran data yang pernah terjadi, terdapat beberapa kemungkinan indikasi vulnerability yang dapat menyebabkan insiden kebocoran data. Berikut beberapa indikasi vulnerability beserta saran tindak lanjut untuk mengatasi hal tersebut:
Referensi
https://www.kominfo.go.id/profil
https://aptika.kominfo.go.id/2020/08/lindungi-kebocoran-data-pribadi-ini-tindakan-pencegahannya/
https://www.imperva.com/blog/analysis-of-100-data-breaches-part-2-what-are-the-root-causes-of-breaches/
https://www.beritasatu.com/ekonomi/973297/kebocoran-data-sim-card-ini-dampaknya-bagi-masyarakat/
https://www.cnnindonesia.com/teknologi/20220905114437-192-843351/bocor-data-sim-card-kominfo-akui-20-persen-data-nik-cocok
https://www.kominfo.go.id/content/detail/44165/siaran-pers-no-402hmkominfo092022-tentang-tindak-lanjuti-dugaan-kebocoran-data-kartu-sim-kominfo-koordinasi-dengan-ekosistem-pengendali/0/siaran_pers
https://www.cloudmatika.co.id/blog-detail/ancaman-keamanan-jaringan
https://mekarisign.com/blog/apa-itu-kebocoran-data/