Jutaan Data Penduduk Diduga Bocor Lewat Data Pemilih

KPU Klaim Kebocoran Bukan dari Sistemnya, Pakar Desak Penguatan Sistem

JAKARTA, Jawa Pos – Kasus dugaan kebocoran data penduduk kembali terjadi. Kali ini, data yang bocor diduga berasal dari data pemilih tetap (DPT) Pemilu yang dimiliki oleh Komisi Pemilihan Umum (KPU).

Informasi dugaan jebolnya data tersebut pertama kali dicuitkan akun Twitter  @underthebreach pada Kamis malam (21/5). Akun itu menyebut pelaku berhasil membocorkan informasi tentang 2,3 juta warga Indonesia di data pemilu. Mulai dari nama, alamat, nomor ID, tanggal lahir. “Aktor mengklaim dia akan membocorkan 200.000.000 informasi warga lainnya segera,” bunyi cuitnya.

Sebagai tambahan, akun tersebut juga menyertakan tiga gambar screenshot atau tangkapan layar komputer. Pertama tangkapan layar sebuah forum di raid forum, tangkapan Daftar Pemilih Tetap (DPT) Pemilu, dan tangkapan layar yang berisikan file folder nama-nama Kecamatan di Kabupaten Bantul, Daerah Istimewa Jogjakarta.

Saat dikonfirmasi, Komisioner KPU RI Viryan mengatakan, sejak info tersebut beredar Kamis (21/5) malam, pihaknya langsung melakukan pengecekkan server data. Dan pada sore kemarin, tim IT KPU memastikan tidak ada jejak hacker yang masuk sistem KPU.

“Tidak kena hack atau bocor atau diretas. KPU sudah melakukan pengecekan terhadap data tersebut,” ujarnya kemarin.

Dari data yang ditampilkan, mantan Komisioner KPU Pontianak itu menyebut data yang dicuit akun @underthebreach merupakan data lama. “Pic (gambar) ini berdasarkan meta datanya tanggal 15 November 2013,” imbuhnya.

Viryan menjelaskan, dia belum mengetahui dari mana sumber data yang diklaim akun tersebut. Namun dia mensinyalir ada potensi data tersebut berasal dari sumber lain di luar KPU. Sebab sesuai regulasi, soft file data pemilih milik KPU bersifat terbuka dan diberikan ke sejumlah lembaga terkait untuk memenuhi prinsip keterbukaan.“Soft file data KPU tersebut (format .pdf) dikeluarkan sesuai regulasi dan untuk memenuhi kebutuhan publik bersifat terbuka,” ujarnya.

Hal itu diatur dalam UU Nomor 8 Tahun 2012 tentang Pemilihan Umum yang menjadi landasan Pemilu 2014. Dalam pasal 38 disebutkan, KPU wajib menyerahkan salinan daftar pemilih kepada para partai peserta pemilu. Itu pun dengan perjanjian hanya untuk keperluan Pemilu. “Tidak untuk hal lain,” kata dia.

Soal potensi 200 juta data lainnya yang akan dipublikasi pelaku pembobolan, dia justru mempertanyakan akurasinya. Sebab, jumlah pemilih pada Pemilu 2014 lalu tak sampai 190 juta.

Untuk mencari tahu sumber data tersebut, kata Viryan, KPU RI berkoordinasi dengan pihak-pihak terkait. Di antaranya Badan Siber dan Sandi Negara BSSN) dan Cyber Crime Mabes Polri. “Hal ini untuk menelusuri kebenaran klaim akun twitter yang bersangkutan,” tuturnya.

Sementara itu, Dirjen Kependudukan dan Catatan Sipil Kementerian Dalam Negeri, Zudan Arif Fakrullah memastikan kasus tersebut tidak terkait dengan database kependudukan yang dia pegang. Selama ini, peran dukcapil dalam data pemilih hanya sampai penyerahan Data Penduduk Potensial Pemilih Pemilu (DP4).”Sejak penyerahan DP4, Dukcapil Kemdagri meminta KPU berkomitmen mengelola data dengan menjaga kerahasiaan data pribadi,” ujarnya.

Oleh sebab itu, pasca Pemilu 2014, Dukcapil meminta kepada KPU agar Nomor Induk Kependudukan dan Nomor Kartu Keluarga diganti dengan tanda bintang. “Tidak perlu ditampakkan agar tidak disalahgunakan untuk pendaftaran kartu prabayar dan untuk membuat KTP el palsu,” imbuhnya.

Untuk diketahui, saat ini sendiri, KPU sudah tidak lagi menampilkan NIK penuh dalam sistem data pemilihnya. Data yang diberikan ke pihak lain sudah diblur atau diganti simbol bintang pada tiga angka di akhir NIK.

Zudan juga menambahkan, database Kependudukan yang ada di Kemendagri dalam kondisi aman. “Kami sudah memeriksa data centre, log dan traffic-nya. Alhamdulillah semua tidak ada masalah,” kata pria asal Sleman tersebut.

Terpisah, pakar keamanan siber Pratama Pershada turut buka suara atas informasi terkait dengan data-data KPU yang tersebar di raid forum. Berdasarkan penelusurannya, data-data tersebut bebas diunduh seluruh member. Isinya berupa nama lengkap, nomor KTP dan KK, tempat tanggal lahir, usia, status perkawinan, sampai alamat lengkap.

Meski KPU menyebut data-data itu bukan rahasia, Pratama menilai seharusnya perlindungan terhadap data-data tersebut tetap ada. Mengingat nomor KTP dan KK turut tercantum dalam data-data yang bebas diunduh tersebut. “Berbahaya data itu jika disebar dan digunakan pihak tidak bertanggungjawab,” kata Pratama.

Dia mencontohkan, nomor KTP dan KK dapat dipakai untuk mendaftarkan nomor telepon seluler atau pinjaman daring. Bahkan bila pelaku nekat bisa saja mereka membuat gabungan data dari akun Tokopedia dan Bukalapak yang pernah diretas. 

Jika hal itu dilakukan, Pratama menyatakan, data-data tersebut sangat mungkin dipakai untuk melakukan tindak kejahatan. “Jelas itu sangat berbahaya,” imbuhnya.

Pihaknya, lanjut dia, sempat memantau aktivitas akun-akun yang mengunduh data-data itu dari raid forum. Sampai kemarin siang tercatat ada seratus akun yang sudah mengunduh. Karena itu, meski KPU menyampaikan data-data tersebut terbuka, tidak bisa dijadikan alasan untuk tidak membuat proteksi.

Pratama menegaskan bahwa walau bukan data rahasia, data-data yang beredar itu tetap harus dilindungi oleh KPU. “Minimal dienkripsi agar tidak sembarangan orang bisa memanfaatkan,” kata dia.

Dari kejadian tersebut, dia mengingatkan pemerintah untuk lebih hati-hati mengelola data kependudukan. “Perlu dipikirkan lebih jauh terkait pengamanan enkripsi data penduduk,” tambahnya.

Selain itu, KPU juga harus lebih waspada. Sebab, mereka sedang menyiapkan agenda pilkada serentak. Apalagi setiap helatan pemilu nyaris selalu ada isu terkait sistem IT KPU. “Setiap gelaran pemilu dan pilkada, KPU selalu mendapat ancaman untuk diretas,” ungkap dia.

Lebih lanjut, dia menyampaikan bahwa perlu ada audit digital forensik di sistem IT KPU untuk memastikan dari mana data-data yang disebar di raid forum itu berasal. Apakah memang diambil dari sistem IT KPU. Atau malah bocor melalui stakholder lain yang juga mendapat data tersebut dari KPU.

Tidak hanya itu, audit dibutuhkan untuk menemukan sebab dan celah kebocoran sistem jika memang terjadi. “Kalau pelaku bisa masuk ke server KPU, ada kemungkinan tidak hanya DPT yang mereka ambil. Tapi, juga bisa mengakses hasil perhitungan pemilu. Secara teknis kalau peretas bisa mencuri data, ada kemungkinan juga bisa mengubah data,” bebernya.

Untuk itu, dia mendorong agar segera dilaksanakan audit yang terperinci. “Sangat bahaya apabila hasil pemungutan suara pemilu diubah angkanya,” kata dia. (far/syn/JPG)

KPU Klaim Kebocoran Bukan dari Sistemnya, Pakar Desak Penguatan Sistem

JAKARTA, Jawa Pos – Kasus dugaan kebocoran data penduduk kembali terjadi. Kali ini, data yang bocor diduga berasal dari data pemilih tetap (DPT) Pemilu yang dimiliki oleh Komisi Pemilihan Umum (KPU).

Informasi dugaan jebolnya data tersebut pertama kali dicuitkan akun Twitter  @underthebreach pada Kamis malam (21/5). Akun itu menyebut pelaku berhasil membocorkan informasi tentang 2,3 juta warga Indonesia di data pemilu. Mulai dari nama, alamat, nomor ID, tanggal lahir. “Aktor mengklaim dia akan membocorkan 200.000.000 informasi warga lainnya segera,” bunyi cuitnya.

Sebagai tambahan, akun tersebut juga menyertakan tiga gambar screenshot atau tangkapan layar komputer. Pertama tangkapan layar sebuah forum di raid forum, tangkapan Daftar Pemilih Tetap (DPT) Pemilu, dan tangkapan layar yang berisikan file folder nama-nama Kecamatan di Kabupaten Bantul, Daerah Istimewa Jogjakarta.

Saat dikonfirmasi, Komisioner KPU RI Viryan mengatakan, sejak info tersebut beredar Kamis (21/5) malam, pihaknya langsung melakukan pengecekkan server data. Dan pada sore kemarin, tim IT KPU memastikan tidak ada jejak hacker yang masuk sistem KPU.

“Tidak kena hack atau bocor atau diretas. KPU sudah melakukan pengecekan terhadap data tersebut,” ujarnya kemarin.

Dari data yang ditampilkan, mantan Komisioner KPU Pontianak itu menyebut data yang dicuit akun @underthebreach merupakan data lama. “Pic (gambar) ini berdasarkan meta datanya tanggal 15 November 2013,” imbuhnya.

Viryan menjelaskan, dia belum mengetahui dari mana sumber data yang diklaim akun tersebut. Namun dia mensinyalir ada potensi data tersebut berasal dari sumber lain di luar KPU. Sebab sesuai regulasi, soft file data pemilih milik KPU bersifat terbuka dan diberikan ke sejumlah lembaga terkait untuk memenuhi prinsip keterbukaan.“Soft file data KPU tersebut (format .pdf) dikeluarkan sesuai regulasi dan untuk memenuhi kebutuhan publik bersifat terbuka,” ujarnya.

Hal itu diatur dalam UU Nomor 8 Tahun 2012 tentang Pemilihan Umum yang menjadi landasan Pemilu 2014. Dalam pasal 38 disebutkan, KPU wajib menyerahkan salinan daftar pemilih kepada para partai peserta pemilu. Itu pun dengan perjanjian hanya untuk keperluan Pemilu. “Tidak untuk hal lain,” kata dia.

Soal potensi 200 juta data lainnya yang akan dipublikasi pelaku pembobolan, dia justru mempertanyakan akurasinya. Sebab, jumlah pemilih pada Pemilu 2014 lalu tak sampai 190 juta.

Untuk mencari tahu sumber data tersebut, kata Viryan, KPU RI berkoordinasi dengan pihak-pihak terkait. Di antaranya Badan Siber dan Sandi Negara BSSN) dan Cyber Crime Mabes Polri. “Hal ini untuk menelusuri kebenaran klaim akun twitter yang bersangkutan,” tuturnya.

Sementara itu, Dirjen Kependudukan dan Catatan Sipil Kementerian Dalam Negeri, Zudan Arif Fakrullah memastikan kasus tersebut tidak terkait dengan database kependudukan yang dia pegang. Selama ini, peran dukcapil dalam data pemilih hanya sampai penyerahan Data Penduduk Potensial Pemilih Pemilu (DP4).”Sejak penyerahan DP4, Dukcapil Kemdagri meminta KPU berkomitmen mengelola data dengan menjaga kerahasiaan data pribadi,” ujarnya.

Oleh sebab itu, pasca Pemilu 2014, Dukcapil meminta kepada KPU agar Nomor Induk Kependudukan dan Nomor Kartu Keluarga diganti dengan tanda bintang. “Tidak perlu ditampakkan agar tidak disalahgunakan untuk pendaftaran kartu prabayar dan untuk membuat KTP el palsu,” imbuhnya.

Untuk diketahui, saat ini sendiri, KPU sudah tidak lagi menampilkan NIK penuh dalam sistem data pemilihnya. Data yang diberikan ke pihak lain sudah diblur atau diganti simbol bintang pada tiga angka di akhir NIK.

Zudan juga menambahkan, database Kependudukan yang ada di Kemendagri dalam kondisi aman. “Kami sudah memeriksa data centre, log dan traffic-nya. Alhamdulillah semua tidak ada masalah,” kata pria asal Sleman tersebut.

Terpisah, pakar keamanan siber Pratama Pershada turut buka suara atas informasi terkait dengan data-data KPU yang tersebar di raid forum. Berdasarkan penelusurannya, data-data tersebut bebas diunduh seluruh member. Isinya berupa nama lengkap, nomor KTP dan KK, tempat tanggal lahir, usia, status perkawinan, sampai alamat lengkap.

Meski KPU menyebut data-data itu bukan rahasia, Pratama menilai seharusnya perlindungan terhadap data-data tersebut tetap ada. Mengingat nomor KTP dan KK turut tercantum dalam data-data yang bebas diunduh tersebut. “Berbahaya data itu jika disebar dan digunakan pihak tidak bertanggungjawab,” kata Pratama.

Dia mencontohkan, nomor KTP dan KK dapat dipakai untuk mendaftarkan nomor telepon seluler atau pinjaman daring. Bahkan bila pelaku nekat bisa saja mereka membuat gabungan data dari akun Tokopedia dan Bukalapak yang pernah diretas. 

Jika hal itu dilakukan, Pratama menyatakan, data-data tersebut sangat mungkin dipakai untuk melakukan tindak kejahatan. “Jelas itu sangat berbahaya,” imbuhnya.

Pihaknya, lanjut dia, sempat memantau aktivitas akun-akun yang mengunduh data-data itu dari raid forum. Sampai kemarin siang tercatat ada seratus akun yang sudah mengunduh. Karena itu, meski KPU menyampaikan data-data tersebut terbuka, tidak bisa dijadikan alasan untuk tidak membuat proteksi.

Pratama menegaskan bahwa walau bukan data rahasia, data-data yang beredar itu tetap harus dilindungi oleh KPU. “Minimal dienkripsi agar tidak sembarangan orang bisa memanfaatkan,” kata dia.

Dari kejadian tersebut, dia mengingatkan pemerintah untuk lebih hati-hati mengelola data kependudukan. “Perlu dipikirkan lebih jauh terkait pengamanan enkripsi data penduduk,” tambahnya.

Selain itu, KPU juga harus lebih waspada. Sebab, mereka sedang menyiapkan agenda pilkada serentak. Apalagi setiap helatan pemilu nyaris selalu ada isu terkait sistem IT KPU. “Setiap gelaran pemilu dan pilkada, KPU selalu mendapat ancaman untuk diretas,” ungkap dia.

Lebih lanjut, dia menyampaikan bahwa perlu ada audit digital forensik di sistem IT KPU untuk memastikan dari mana data-data yang disebar di raid forum itu berasal. Apakah memang diambil dari sistem IT KPU. Atau malah bocor melalui stakholder lain yang juga mendapat data tersebut dari KPU.

Tidak hanya itu, audit dibutuhkan untuk menemukan sebab dan celah kebocoran sistem jika memang terjadi. “Kalau pelaku bisa masuk ke server KPU, ada kemungkinan tidak hanya DPT yang mereka ambil. Tapi, juga bisa mengakses hasil perhitungan pemilu. Secara teknis kalau peretas bisa mencuri data, ada kemungkinan juga bisa mengubah data,” bebernya.

Untuk itu, dia mendorong agar segera dilaksanakan audit yang terperinci. “Sangat bahaya apabila hasil pemungutan suara pemilu diubah angkanya,” kata dia. (far/syn/JPG)