TEMPO.CO, Jakarta - Data pribadi pelanggan Indihome Telkom dan PLN diduga telah bocor. Kementerian Komunikasi dan Informatika (Kominfo) beserta Badan Siber dan Sandi Negera (BSSN) turut serta mengawal kasus ini.

Pengamat keamanan digital dari Vaksincom, Alfons Tanujaya, mengatakan sekali data bocor dan keluar dari server, maka data tersebut akan dapat dikopi berulang-ulang. Meskipun penyebab kebocoran data sudah ditambal, data yang sudah bocor tersebut sudah tidak bisa dikembalikan lagi ke server dan akan berada di internet selamanya.

Vaksincom juga melakukan analisis terhadap data pengguna Indihome yang bocor dan disebarkan di situs breached.**, dari file dengan nama "metranet_log.csv" yang berukuran 16.79 GB dengan jumlah data sebanyak 26,7 juta baris dan 12 kolom.

Data tersebut adalah data history browsing tahun 2018 dan 2019 sebanyak 26.730.797 baris. Selain mengandung data waktu browsing dan situs yang dikunjungi, mayoritas memiliki data tambahan Jenis Kelamin, Nama Lengkap dan NIK.

Alfons mengatakan bahwa dalam kasus kebocoran data, pengelola data hanya mendapat malu, dianggap tidak kapabel, tetapi pemilik data yang harus menanggung akibat dari kebocoran data.

“Kalau data yang bocor adalah kredensial, mungkin mitigasi seperti mengganti password atau mengaktifkan TFA Two Factor Authentication bisa dilakukan dan efektif menangkal efek negatif bagi pemilik data asalkan diumumkan segera dan pemilik kredensial menyadari hal ini,” jelas Alfons, Selasa, 23 Agustus 2022.

Sedangkan, jika yang bocor adalah data lain seperti data kependudukan, informasi rahasia pribadi atau log akses situs, maka pemilik data kependudukan dan log akses situs tersebut yang akan paling menderita, karena data yang bocor tersebut tidak seperti kredensial yang dapat diganti.

Risiko Kebocoran Data

Alfons memberikan contoh risiko data yang sudah keburu bocor. Data dapat digunakan untuk merancang rekayasa sosial phishing yang menyasar pemilik data. Penipu memalsukan diri sebagai customer service bank meminta kredensial transaksi untuk mencuri dana nasabah.

Bisa juga, data yang bocor digunakan untuk mempermalukan pemilik data. Misalnya, jika ada pengguna internet yang dari data browsingnya memiliki penyakit tertentu yang sifatnya rahasia, kecenderungan seksual yang menyimpang, berkunjung ke situs porno atau hal lain yang sifatnya sangat pribadi dan rahasia.

Teguh Arianto dari Periksa Data juga sudah memperlihat tangkapan layar dari diduga kebocoran data, ada salah seorang pelanggan Indohome terlihat memiliki history membuka konten dewasa. Tentu saja Teguh menyamarkan nama pelanggan tersebut pada cuitan twitternya.

“BUMN satu ini jahat banget kelakuannya. Contohnya di baris pertama, mas-mas ini kebetulan lagi buka bokep lalu browsing historynya dicuri & diidentifikasi nama, jenis kelamin dan juga NIK miliknya dari data pelanggan. Bayangin kalau ini digunakan untuk mempermalukan seseorang.”

Data yang bocor mengandung informasi penting seperti data kependudukan, bisa digunakan untuk membuat KTP bodong dengan blangko KTP membuat KTP palsu. Selanjutnya, bisa untuk melakukan tindak kejahatan menggunakan KTP tersebut. Pemilik data yang bocor ini akan menjadi korban dan berurusan dengan pihak berwajib padahal sama sekali tidak mengetahui tindak kejahatan yang terjadi.

Alfons juga memberikan kemungkinan lain, bahwa data yang bocor digunakan untuk profiling korban dan menjadi sasaran iklan atau algoritma untuk merubah pandangan politiknya dan hal ini terbukti mengakibatkan kekacauan politik seperti yang terjadi di Amerika, Brexit dan Arab Spring.

Keadaan di Indonesia

Menurutnya, ada sikap denial dari pengelola data setiap kali mengalami kebocoran data. Bukannya mengakui adanya kebocoran data, mengumumkan kepada pemilik data supaya tidak menjadi korban eksploitasi kebocoran data tersebut dan memperbaiki tata kelola datanya seperti mengikuti standar pengelolaan data yang baik (ISO 27001, ISO 27701, NIST Security Framework).

“Hal pertama yang dilakukan adalah sibuk berakrobat menutupi malu dan fakta telah terjadi kebocoran data. Lebih parahnya lagi, ada yang malah menyalahkan pelanggannya yang awam bahwa pelanggannya yang menjadi penyebab kebocoran data,” kata Alfons.

Jika data bocor, adalah kewajiban pengelola data bertanggung jawab atas kebocoran data ini dan pengelola data wajib memberikan informasi kepada pemilik data bahwa data yang dikelolanya sudah bocor dan berpotensi disalahgunakan sehingga bisa mengambil langkah pencegahan. Mengganti password hanya salah satu mitigasi kebocoran data yang berhubungan dengan kredensial.

Jika data yang bocor tidak mengandung kredensial dan mengandung informasi sensitif lainnya, contohnya data kependudukan yang bocor maka pemilik data berhak mendapatkan informasi bahwa datanya sudah bocor supaya dapat melakukan antisipasi. Jadi melakukan penyangkalan jika mengalami kebocoran data akan membuat pemilik data tidak waspada dan akan dengan mudah menjadi korban eksploitasi dari data yang bocor tersebut.

Apa yang bisa dilakukan pemilik data ketika datanya bocor ?

Kalau yang bocor adalah data kredensial, maka hal pertama yang harus dilakukan adalah segera mengganti password. Atau jika akun tersebut sudah mengaktifkan perlindungan TFA, maka akun tersebut sebenarnya masih relatif aman meskipun kredensialnya bocor.

Tetapi, jika data yang bocor adalah data lain yang sifatnya rahasia seperti data kependudukan atau data pribadi yang sangat rahasia. “Satu-satunya hal terbaik yang dapat dilakukan adalah berdoa kepada Tuhan YME supaya datanya yang sudah bocor dan tersebar itu tidak disalahgunakan,” kata Alfons. Ia juga berharap pengelola data yang bocor tersebut kembali ke jalan yang benar mengelola data dengan bertanggung jawab. Karena Big Data itu adalah Amanah dan bukan Berkah.

Baca:
BRIN Kembangkan Kecerdasan Buatan untuk Koleksi Data Genomik Biodiversitas

Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.