Koran Sulindo – Peretas ber-akun @underthebreach mengabarkan pembobolan data warga Indonesia yang tercantum dalam Daftar Pemilih Tetap (DPT) Komisi Pemilihan Umum (KPU). Adalah @underthebreach juga yang awal Mei ini mengabarkan pembobolan data ecommerce Tokopedia.
“Aktor (peretas) membocorkan informasi 2.300.000 warga Indonesia. Data termasuk nama, alamat, nomor ID, tanggal lahir, dan lainnya,” cuit @underthebreach, melalui akun Twitternya, Kamis malam (21/5)
Menurut akun tersebut, peretas juga mengklaim akan membocorkan 200 juta data lainnya.
@underthebreach mengunggah foto tangkapan layar (screenshot) di sebuah forum peretas dan mengatakan dalam data tersebut ada nomor Induk Kependudukan (NIK) DNKK).
“Sangat bermanfaat bagi yang membutuhkan untuk mendaftar nomor telepon (Anda memerlukan NIK dan NKK untuk registerasi), atau dapat digunakan untuk ambil data nomor telepon dari Indonesia,” kata peretas.
Peretas mengaku mendapat data dalam format pdf dari KPU, dan mendapatkan lebih dari 200 juta data masyarakat Indonesia, yang akan dibagikan segera.
Akun itu juga mengunggah contoh data yang diretas. Berupa data KPU (lengkap dengan logo KPU di sebelah kiri) dengan lampiran berjudul “Daftar Pemilih Tetap Pemilihan Umum Anggota DPR, DPD, DPRD Provinsi dan DPRD Kabupaten/Kota Tahun 2014.”
Data Terbuka
Sementara itu, KPU menyatakan soft file data Daftar Pemilih Tetap (DPT) KPU dalam format pdf bersifat terbuka dan dikeluarkan sesuai dengan regulasi untuk memenuhi kebutuhan publik.
“KPU RI sudah bekerja sejak tadi malam menelusuri berita tersebut lebih lanjut, melakukan cek kondisi internal (server data) dan berkoordinasi dengan pihak-pihak terkait,” kata Anggota KPU, Viryan Azis, di Jakarta, Jumat (22/5/2020).
Menurut Viryan, data yang diretas memang daftar pemilih tetap Pemilu 2014.
KPU Harus Lindungi Data Pemilih
Pakar keamanan siber dari Communication and Informatian System Security Research Center (CISSReC), Pratama Persadha, mengingatkan bahaya peretasan terhadap data tersebut jika disebarkan, khususnya nomor kartu tanda penduduk (KTP) dan kartu keluarga (KK).
“Saat dicek di Raid Forums data yang disajikan plain dan bisa di-download member secara gratis,” kata Pratama, di Semarang, Jawa Tengah, Jumat (22//5/2020).
Pratama adalah Ketua Tim Lembaga Sandi Negara (sekarang BSSN) Pengamanan Teknologi Informasi (TI) KPU pada Pemilu 2014.
Data yang disebar di forum internet mencakup nama, jenis kelamin, alamat, nomor KTP dan KK, tempat tanggal lahir, usia, serta status lajang atau menikah.
Data KPU yang disebar pelaku adalah data pada tahun 2013, setahun sebelum Pemilu 2014, sebagian besar di antaranya data pemilih Daerah Istimewa Yogyakarta (DIY)
Akun yang menyebarkan di Raid Forums adalah Arlinst.
Menurut Pratama, data yang disebar tanpa enkripsi sama sekali. Namun saat ia mengecek ulang, data itu sudah hilang.
Di Raid Forums, data itu sudah di-download oleh sekitar 100 akun. Untuk men-donwnload, seseorang harus memiliki minimal 8 kredit, yang setiap 30 kredit harus dibeli seharga 8 euro, via paypal.
Meski KPU menjelaskan bahwa itu adalah data terbuka, bukan berarti tidak perlu dilindungi, minimal dienkripsi agar tidak sembarangan orang bisa memanfaatkannya.
“Apalagi, verifikasi data daftar pemilih tetap (DPT) hanya perlu data nomor induk kependudukan (NIK), bukan semua data dijadikan satu, apalagi tanpa pengamanan,” katanya.
Jika data KPU ini dikombinasikan dengan data Tokopedia dan Bukalapak yang lebih dahulu terekspos, akan dihasilkan data yang cukup berbahaya dan bisa dimanfaatkan untuk kejahatan.
“Misalnya, mengombinasikan data telepon dari marketplace dengan data KTP dan KK, jelas ini sangat berbahaya,” katanya.
Menurut Pratama, KPU harus segera melakukan audit keamanan informasi (audit digital forensic) ke sistem teknologi informasi (TI) KPU untuk menjawab isu kebocoran data ini.
“Audit ini juga bisa menemukan sebab dan celah kebocoran sistem kalau memang ada,” katanya.
Jika ditemukan peretas memang bisa masuk ke server KPU, ada kemungkinan tidak hanya mengambil DPT, tapi juga bisa mengakses hasil perhitungan pemilu.
“Secara teknis kalau peretas bisa mencuri data, ada kemungkinan juga bisa mengubah data. Sangat bahaya sekali apabila hasil pemungutan suara pemilu diubah angkanya,” kata Pratama. [RED]