Kejadian Lagi, 800 Ribu Data Pribadi KreditPlus Dijual Hacker

Kebocoran 800 ribu data nasabah KreditPlus dijualbelikan di situs Raidforums. Foto: CISSReC (Communication and Information System Security Research Center)

 
Kebocoran data kembali terjadi di Indonesia. Kali ini lebih dari 800 ribu data nasabah KreditPlus dijualbelikan di situs Raidforums.

Lembaga Riset Siber Indonesia CISSReC (Communication and Information System Security Research Center) menuturkan, bocornya data KreditPlus sebenarnya dibagikan pada 16 Juli 2020 lalu yang di-upload oleh anggota Raidforums bernama ShinyHunters.

Disampaikan CISSReC, member di Raidforums membagikannya melalui sistem pembayaran kredit, mata uang forum tersebut yang jika dirupiahkan sekitar Rp 50 ribu.

Setelah membayarnya, nanti akan mendapatkan sebuah link yang diarahkan untuk mengunduh file berisi ratusan ribu data pelanggan Kreditplus tersebut.

File unduhan sebesar 78 MB tersebut harus diekstrak dan menghasilkan sebuah file sebesar 430 MB.


Setelah file dibuka, barulah terlihat sebanyak 819.976 data nasabah yang terbilang rinci, mulai dari nama, KTP, email, status pekerjaan, alamat, data keluarga penjamin pinjaman, tanggal lahir, nomor telepon, dan lainnya.

Pakar keamanan siber Pratama Persadha menjelaskan, informasi yang bocor ini adalah data sensitif yang sangat lengkap.

Diungkapkan Pratama, ini sangat berbahaya untuk nasabah, karena dari kelengkapan data nasabah KreditPlus ini memancing kelompok kriminal untuk melakukan penipuan dan tindak kejahatan yang lainnya.

"Masalah utama di tanah air belum ada UU yang memaksa para penyedia jasa sistem elektronik ini untuk mengamankan dengan maksimal data masyarakat yang dihimpunnya.

Sehingga data yang seharusnya semua dienkripsi, masih bisa dilihat dengan mata telanjang," jelas chairman lembaga riset siber Indonesia CISSReC ini dalam keterangan tertulisnya.

Dalam hal ini, kata Pratama, negara punya tanggungjawab untuk melakukan percepatan pembahasan RUU Perlindungan Data Pribadi.

Dalam UU tersebut harus disebutkan bahwa setiap penyedia jasa sistem transaksi elektronik (PSTE) yang tidak mengamankan data masyarakat, bisa dituntut ganti rugi dan dibawa ke pengadilan.

"Hal serupa ada di regulasi perlindungan data pribadi bagi warga Uni Eropa, General Data Protection Regulation (GDPR). Setiap data yang dihimpun harus diamankan dengan enkripsi.

Bila terbukti lalai, maka penyedia jasa sistem elektronik bisa dikenai tuntutan sampai 20 juta euro," ungkapnya.

"Bisa dibayangkan bila Kreditplus ini ada di luar negeri, bisa dikenai pasal kelalaian dalam GDPR.

Sama juga dengan peristiwa kebocoran data yang sudah terjadi di tanah air sebelumnya," terang pria yang juga dosen pascasarjana Sekolah Tinggi Intelijen Negara (STIN) ini.

Maka dari itu, disampaikan Pratama, sangat penting pasal perlindungan tersebut masuk dalam RUU PDP di Tanah Air.

Pihak penyelenggara sistem transaksi elektronik harus mulai menjadikan data penggunanya sebagai prioritas keamanan.

Pilih teknologi enkripsi teraman dan semua data harus dienkripsi. Data offline juga harus mendapatkan model pengamanan yang tidak kalah ketat.

"Untuk mencegah pencurian data berulang, perlu diadakan penetration test dan juga bug bounty.

Setiap PSTE bisa memberikan reward yang layak pada setiap pihak yang menemukan celah keamanan pada sistem mereka.

Hal ini sering dilakukan Apple, Google, FB, Amazon dan raksasa teknologi lainnya," jelasnya.

Peristiwa pencurian data atau kebocoran data yang terus berulang ini, Pratama sebaiknya mendorong Kominfo dan BSSN untuk lebih sering turun ke lapangan melakukan edukasi dan memaksa PSTE untuk membangun sistem yang lebih baik, terutama dalam melindungi data nasabah atau pelanggan platform mereka.

Menurut Pratama, karena keamanan siber ini akan menjadi salah satu hal yang dijadikan patokan investor untuk berbisnis di Indonesia.

"Sebelum pemilik layanan bisa mengamankan data pribadi penggunanya, kita juga harus bisa mengamankan data pribadi kita sendiri. Misalnya yang buat password yang baik dan kuat, aktifkan two factor authentication.

Pasang anti virus di setiap gawai yang digunakan, jangan menggunakan wifi gratisan, jangan membuka link yang tidak dikenal dan mencurigakan, serta pengamanan standar lainnya," pungkas dia.