Awas, Penjahat Siber Mengincar Data Pribadimu

Beberapa waktu terakhir, kabar buruk kebocoran dan perdagangan data pribadi warga Indonesia di jaringan gelap internet seakan tidak ada habisnya. Tidak lama setelah server situs e-commerce (perdagangan elektronik/e-dagang) Tokopedia diretas dan data 91 juta akun penggunanya dijual, beredar juga jutaan data daftar pemilih Pemilu.

Tidak lama setelah Tokopedia, 1,2 juta akun yang teregister di situs toko elektronik Bhinneka.com pun dicuri peretas. Sebelumnya, pada 2019, situs e-dagang lainnya, Bukalapak juga mengalami hal yang sama, 13 juta data penggunanya disedot dari server oleh peretas. Mengapa situs e-dagang yang menjadi target?

Karakteristik yang membuat perusahaan e-dagang menarik bagi para peretas adalah koleksi data pribadi yang mereka miliki; nama lengkap, nomor telepon, alamat rumah, alamat surel, nomor kartu kredit, hingga tempat dan tanggal lahir. Hal ini yang harus disadari sejak awal oleh pemilik pasar-pasar digital untuk mengamankan sistemnya dengan baik.

“Data dalam era digital saat ini memang menjadi lebih berharga dibanding minyak dan emas. Dengan belasan bahkan puluhan juta data, siapa pun bisa menggunakannya untuk tidak kejahatan, seperti telemarketing palsu maupun phishing,” kata Chairman Lembaga Riset Siber Indonesia (Communication and Information System Security Research Center/CISSReC) Pratama Persadha.

Adanya berbagai risiko ini, para penyedia layanan e-dagang seharusnya bersikap lebih ketat terhadap pengamanan data pribadi penggunanya. Perlu menyadari bahwa risiko serangan peretas itu konstan. Data harus dilindungi enskripsi. Sehingga, apabila data berhasil dicuri, tidak serta merta isinya bisa langsung diketahui.

Menilik hasil retasan Tokopedia, hanya kode sandi yang dienkripsi. Data pribadi lainnya, seperti nama lengkap, nomor ponsel dan lain-lain tidak dilindungi sama sekali; dibiarkan terekam secara terbuka (plaintext).

Cukup dengan memberikan uang sebesar 5.000 dollar AS atau setara Rp 75 juta kepada akun bernama ShinyHunters di situs e-dagang dark web Empire Market, seluruh data tersebut sudah bisa dimiliki oleh siapa pun. Entah apa yang akan dilakukannya dengan data tersebut.

Terkait berbagai peretasan itu, pengelola situs dagang menyatakan komitmennya untuk melindungi data pengguna. VP of Corporate Communications Tokopedia Nuraini Razak, dalam siaran pers, Sabtu (2/5/2020), memastikan, informasi penting pengguna dilindungi dari peretasan data. Data berupa kata sandi serta informasi krusial pengguna terlindung di balik enkripsi.

”Keamanan data pengguna merupakan prioritas utama Tokopedia. Kami juga menerapkan keamanan berlapis, termasuk penggunaan one time password atau OTP yang hanya bisa diakses langsung pemilik akun. Kami mengedukasi pengguna untuk tidak memberikan kode OTP kepada siapa pun dan untuk alasan apa pun,” katanya.

Pendiri Bukalapak, Achmad Zaky, mengklaim peretasan Bukalapak oleh Gnosticplayers tidak berhasil mendapatkan data penting mitra dan pengguna. ”Tidak ada data penting yang dicuri,” katanya. (Kompas, 5 Mei 2020)

Abai Keamanan Data

Di sisi lain, faktor lain berpengaruh yakni data yang diakibatkan karena abainya perhatian terhadap keamanan data pribadi. Masa lalu yang dimaksud bukan dalam hitungan puluhan tahun yang lalu, tetapi ketika 2012, saat perancangan undang-undang penyelenggaraan Pemilihan Umum tahun 2014.

Pasal 33 Ayat (2) Undang-Undang 8 Tahun 2012 tentang Pemilu DPR, DPD, dan DPRD menetapkan, daftar pemilih memuat NIK, nama, tanggal lahir, jenis kelamin, dan alamat. Lalu, Pasal 38 menetapkan bahwa daftar pemilih tersebut diberikan kepada partai politik dalam bentuk salinan soft-copy.

Dengan adanya norma undang-undang yang mewajibkan hal ini, data pribadi sensitif dari sekitar 190 juta penduduk Indonesia yang masuk dalam daftar pemilih Pemilu 2014 dikumpulkan menjadi satu dalam koleksi yang terbuka kepada publik.

Ini kemudian baru kembali mengejutkan masyarakat ketika sebuah akun di situs forum Raidforums membagikan data 2,3 juta pemilih dari provinsi Daerah Istimewa Yogyakarta pada Jumat (22/5/2020). Si pemilik akun bahkan menjanjikan akan segera membagikan sekitar 200 juta data lainnya.

Data tersebut meliputi nama, alamat, nomor induk kependudukan (NIK), nomor kartu keluarga (KK), yang tanpa disensor sedikitpun. Dengan sedikitnya perubahan pada informasi tersebut selama jangka waktu 5-6 tahun terakhir, data tersebut masih relevan untuk disalahgunakan.

Kombinasi data tersebut adalah data-data yang biasa digunakan untuk mengakses layanan dari pemerintah dan swasta; dari urusan kependudukan hingga perbankan dan telekomunikasi. “Dari sisi masyarakat, kita tidak bisa berbuat apa-apa,” kata pendiri Ethical Hacker Indonesia, Teguh Aprianto.

Polemik ini sebetulnya terjadi kembali jelang penyelenggaraan Pemilu 2019. KPU menutup beberapa digit angka terakhir pada NIK dan nomor KK dalam daftar pemilih. Namun, pada saat itu, Partai Gerindra melayangkan somasi untuk menyerahkan DPT yang terbuka tanpa sensor.

Somasi itu dilayangkan karena Komisi Informasi DKI Jakarta memenangi gugatan partai itu untuk membuka seluruh digit angka NIK dan nomor KK. Lalu, dalam masa persiapan Pemilu 2019, KPU akhirnya membuka 4 digit pada NIK dalam rapat dengan partai politik. Bisa saja, apabila partai politik atau oknum di dalamnya tidak berhati-hati, kejadian ini (kebocoran data) terulang kembali, kata Wahyudi Djafar, Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam).

Eksploitasi Pandemi Covid-19

Celah keamanan akan terus dicari oleh peretas. Namun, perlu dipahami bahwa celah keamanan yang sering dieksploitasi bermula pada kelengahan manusia.

Berdasarkan data firma keamanan siber Fortinet, sekitar 50 persen upaya pembobolan data bermula dengan taktik social engineering. Penjahat berusaha menipu orang yang memiliki otoritas terhadap jaringan untuk memberikan akses masuk. Hal ini dapat dilakukan dengan phishing, misalnya.

”Oleh karena itu, di situasi sekarang, banyak sekali penjahat yang memanfaatkan momentum pandemi Covid-19 dan virus korona. Hal ini tidak bisa dihindari karena dewasa ini informasi pribadi kita berserakan di dunia digital,” kata John Maddison, Executive Vice President Fortinet.

Sejak awal meluasnya Covid-19, berbagai firma keamanan siber dari seluruh dunia mencatat ada kecenderungan eksploitasi pandemi Covid-19 untuk melakukan serangan siber. Kelompok kriminal siber sering mencatut nama organisasi yang tepercaya untuk meningkatkan kredibilitas.

Nama organisasi seberti Organisasi Kesehatan PBB, World Health Organization (WHO) dan Centers for Disease Control (CDC) Amerika Serikat sering dipakai untuk meningkatkan “kredibilitas” pelaku kriminal dan membuat pengguna terpancing untuk membuka tautan tertentu.

Perusahaan antivirus Trend Micro juga telah mengonfirmasi bahwa surel spam bertema Covid-19 digunakan untuk menyelipkan malware. Malware adalah aplikasi atau peranti lunak berbahaya yang bertujuan untuk merusak atau melakukan tindakan yang tidak diinginkan terhadap sistem komputer. Virus dan spyware (aplikasi pencuri data pribadi) tergolong sebagai malware.

Surel-surel berbahaya itu berisi sejumlah rekomendasi umum mengenai cara untuk mencegah terjadinya infeksi korona. Surel tersebut juga menyertakan sebuah file yang disebut berisi dokumen kabar terbaru mengenai Covid-19. Namun, kemungkinan besar file tersebut berisi malware.

Perusahaan antivirus Kaspersky juga mempublikasikan bahwa sejumlah surel spam menggunakan alamat pengirim yang dimiripkan, seakan dari CDC, contohnya cdc-gov.org dan cdcgov.org. Padahal, alamat CDC yang asli menggunakan cdc.gov.

Urgensi UU Perlindungan Data

Dari kejadian ini, urgensi keberadaan Undang-Undang Perlindungan Data Pribadi (UU PDP) menjadi mutlak terasa. Dengan UU PDP, posisi dan tanggung jawab setiap aktor yang memegang data menjadi terdefinisikan.

Dalam Regulasi Perlindungan Data Umum Uni Eropa (EU-GDPR), KPU ataupun partai politik ditetapkan sebagai prosesor data. Sehingga jelas apa kewajiban masing-masing pelaku pengolah data. “Kalau di Indonesia, belum jelas tanpa UU PDP. Jadi, ini harus disegerakan,” ujar Wahyudi.

Badan publik seperti KPU apabila diketahui tidak memenuhi kewajiban pelindungan data, maka ada penalti dalam bentuk ganti rugi bagi pemilik data atau masyarakat.

Mekanisme penyelesaian dan sanksi memastikan bahwa mereka yang gagal melindungi data dapat segera melakukan data protection impact assessment dan menetapkan perlindungan data pribadi yang kuat. “Kalau sanksi tidak kuat, mereka tidak akan belajar,” tambah Wahyudi.

Secara simultan, perusahaan yang mengumpulkan data pribadi dari masyarakat juga harus terus meningkatkan keamanan sistemnya. Uji keamanan seperti penetration test harus dilakukan secara periodik dan lebih sering.

Penetration test atau biasa disebut dengan “pentest” adalah uji penetrasi yang dilakukan untuk mencoba keandalan sistem proteksi yang dijalankan suatu organisasi. Kalau perlu, perusahaan teknologi Indonesia secara rutin menyelenggarakan sayembara bagi siapa pun yang bisa menemukan celah keamanan.

“Reward-nya juga harus dalam nominal yang besar, karena kemampuan untuk menemukan celah keamanan tidak banyak dimiliki orang. Google, Apple, dan raksasa teknologi di AS berani memberikan reward besar bahkan sampai jutaan dollar bagi yang berhasil menemukan celah keamanan yang sangat berbahaya,” kata Pratama.

Berbagai insiden pembobolan data akhir-akhir ini, menempatkan masyarakat dalam posisi lemah tanpa perlindungan dari negara untuk memaksa pelaku usaha dan instansi pemerintahan menjaga data pribadi. Regulasi yang menjamin perlindungan data pribadi di Indonesia sudah menjadi kebutuhan dan selayaknya segera dibahas secara terbuka bersama publik. Sampai ada jaminan keamanan data, kita harus selalu waspada.