27 October 2022

Kebocoran Data dan Dokumen Rahasia di 21.000 Perusahaan Indonesia

Oleh: Zulva Wahyu Mumpuni Eka Putra

Hacking atau peretasan bukan menjadi hal yang tidak mungkin di era digital. Bahkan semua kalangan bisa mempelajarinya dari mana pun dan kapanpun. Kemudahan akses informasi ini menyebabkan dampak negatif dan positif. Begitupun dengan kemampuan hacking ini, jika digunakan dengan baik maka akan berdampak baik bagi seseorang. Misalnya, dengan kemampuan meretas yang dia miliki maka dia juga bisa tau cara menaggulangi peretasan itu.

Baru-baru ini Indonesia dikejutkan dengan berita peretasan data dan dokumen rahasia di berbagai 21.000 perusahaan di Indonesia hingga cabangnya. Berita ini meresahkan berbagai kalangan masyarakat. Dugaan kebocoran dokumen rahasia di Indonesia ditilik dari unggahan sebuah situs di dark web dengan judul “347GB Confidential documents of 21.7K Indonesia Companies + Foreign Companies (branch),” yang menjual dokumen laporan keuangan seharga US$50.000 atau sekitar Rp743 juta. Dugaan lainnya muncul dari unggahan pengguna twitter @nuicemedia menunjukkan dugaan kebocoran data yang melibatkan lebih dari 21.000 perusahaan Indonesia dan perusahaan cabang di luar negeri dengan ukuran 374 gigabita.

Postingan dokumen penting dari 21.000 perusahaan Indonesia dan perusahaan asing yang bercabang di Indonesia diterbitkan oleh akun bernama Toshikana yang mengunggah sampel data secara gratis pada 15 Agustus 2022 di sebuah situs broken(dot)xx, situs forum peretas yang mirip dengan RaidForums.

Daftar 21.000 perusahaan dibagikan oleh peretas. Daftar perusahaan ini setidaknya mencakup asuransi, pertambangan, hukum, koperasi, perkebunan, farmasi, logistik, properti, impor/ekspor, pakaian, kerajinan, transportasi hingga konstruksi.Selain itu, daftar tersebut juga mencakup banyak yayasan, universitas dan rumah sakit ternama di Indonesia.

Toshikana telah merilis sejumlah besar sampel data penting dari perusahaan dengan pendapatan di atas atau di bawah Rp 700 miliar dan juga salinan NPWP dari 10 perusahaan besar yang sebagian nomer kartunya disensor. Sedangkan sampel 21 perusahaan kelas menengah berisi data rinci berupa salinan kartu KTP pemegang saham, KTP direktur utama, tanda tangan direktur/wakil presiden, perjanjian kerjasama perus ahaan, SPT pajak, rekening koran, akta perusahaan, surat izin usaha perdagangan, data KTP manajer perusahaan, dan lain sebaginya.

Thoshikana membagikan sampel dua file database bernama Standart.zip dengan ukuran file 296 megabita dan Big.zip berukuran 675 kilobita untuk menyakinkan calon pembelinya. Memang benar, ketika data file itu dibuka berisi dokumen dan data rahasia perusahaan yang bocor. 

BBC (salah satu channel update berita) telah mengkonfirmasi bahwa salah satu perusahaan sampel yang dibocorkan oleh peretas adalah CV Kharisma Sejahtera. Mundyono, manajer operasi CV Kharisma Sejahtera, tak menyangkal bahwa banyak bocoran detail konfirmasi data perusahaan, antara lain nama presiden, tanggal lahir, dan tahun berdirinya perusahaan. Ia juga mengaku tidak memberikan data rinci kepada siapapun selain instansi pemerintah yang bertanggung jawab atas kegiatan usaha migas.“Saya khawatir bahwa seseorang menggunakannya untuk tender atau menggunakan ini untuk tujuan lain” kata Mudyono.                                                                                                                                                           

Alovons Anujaya, pakar keamanan siber di Tanujaya dari Vaksincom mengatakan “Kemungkinan  peretasan data sensitif ini menggunakan zero-day exploit”. Peretas mengeksploitasi  kerentanan sistem yang tidak diketahui oleh pengembang perangkat lunak untuk menyusup ke jaringan server dan mengambil semua data. Peretasan biasanya cepat dan berskala besar. Kata Alofons “Secanggih apapun server pasti bisa dibobol jangankan server di Indonesia, server luar negeri pun pasti ada saat kelalaiannya dan mungkin bisa diretas” Kemungkinan kedua, kata Alfons, “Peretas memanfaatkan kegagalan institusi dan perusahaan untuk menyimpan data di layanan cloud, kalau informasinya bocor, peretas tinggal men-copy (salin) semuanya,”.                                                       

Tidak hanya itu @nuicemedia juga membagikan foto dari dark web penjualan data dari 17 juta pelanggan PLN yang diunggah dari akun loliyta miliknya."Kami menjual data PLN  senilai 17 juta, antara lain nomor  ID, KTP pelanggan, nama pelanggan, jenis listrik, KWh, alamat, nomor meteran, jenis meteran, dan lain-lain," tulis akun tersebut. dugaan kebocoran data dari PLN merupakan masalah yang lebih besar karena datanya sangat spesifik.

Kebocoran data ini bukan yang pertama kalinya di tahun 2021 dugaan kebocoran 279 data perserta BPJS Kesehatan, platform eHac, KPU, sampai platform perdagangan elektronik.

Lantas bagaimana pemerintah menaggapi ini?

Melihat kejadian ini pemerintah seharusnya menjadikannya sebagai momentum untuk mengesahkan Undang-Undang Perlindungan Data Pribadi (UU PDP) dan secara aktif  meningkatkan kesadaran akan pentingnya perlindungan data. Secara teknologi, misalnya, kita dapat melindungi data yang bocor dengan menggunakan enkripsi (metode pengodean data agar komputer tidak dapat membaca atau menggunakan data). (https://kbbi.kemdikbud.go.id/)

Sistem komputer pemerintah swasta juga harus diperkuat. Salah satunya dengan menggunakan UU PDP. Jadi, ada suatu paksaan atau amanah dari UU PDP yang mewajibkan seluruh lembaga negara untuk meningkatkan infrastruktur dan staf IT-nya untuk meniru regulasi yang lebih unggul dalam pengamanan server. Tanpa UU PDP, akan terjadi peretasan berulang kali seperti website pemerintah.

Oleh karena itu, masyarakat berharap kepada Pemerintah untuk memperbaiki dan membenahi kembali server pemerintah pusat dan swasta karena kita sendiri sebagai masyarakat tidak terima jika data atau dokumen pribadi disalahgunakan untuk kepentingan yang melanggar nilai dan norma.     

DAFTAR PUSTAKA

https://www.bbc.com/indonesia/majalah-62603873

https://mojok.co/kilas/21-000-perusahaan-di-indonesia-diduga-mengalami-kebocoran-data-dijual-50-ribu-dollar-as/

 

                                                     

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                 

 

 

 

 

 

 

 

 

Kebocoran Data dan Dokumen Rahasia di 21.000 Perusahaan Indonesia