Masyarakat Indonesia kembali dikejutkan oleh kabar bocornya 2,3 juta pemilih yang terdaftar di KPU (Komisi Pemilihan Umum).
Akun twitter @underthebreach adalah akun yang mengabarkan terjadinya kasus ini pertama kali sehingga ramai diperbincangkan.
Untuk diketahui, @underthebreach juga merupakan akun yang mengabarkan bocornya jutaan data pengguna Tokopedia beberapa waktu lalu.
Menanggapi kasus kebocoran data ini, pakar keamanan siber Pratama Persadha mengatakan bahwa data-data KPU tersebut disebar oleh hacker (peretas) melalui forum di dark web bernama Raid Forums.
Di Forum tersebut, sang hacker menggunakan akun bernama Arlinst.
“Saat dicek di Raid Forums, data-data yang disajikan dalam bentuk plain dan bisa diunduh oleh para member-nya secara gratis,” ujar Pratama.
Adapun data-data yang disebar mencakup nama, jenis kelamin, alamat, nomor KTP dan KK, tempat tanggal lahir, usia, status lajang atau menikah.
Jika dilihat, tentunya sangat berbahaya jika data-data ini disebar dan digunakan oleh pihak tidak bertanggungjawab, khususnya karena ada data nomor KTP dan KK.
“Data yang disebar tanpa enkripsi sama sekali. Nomor KTP dan KK bersamaan misalnya bisa digunakan untuk mendaftarkan nomor seluler dan juga melakukan pinjaman online bila pelaku mahir melengkapi data,” jelas Pratama.
Lebih lanjut, Pratama mengungkapkan bahwa saat pihaknya mengecek kembali halaman yang dibuka oleh akun Arlinst di forum tersebut, ternyata kini sudah hilang.
“Bahkan saat dicek di Twitter banyak akun yang men-tracking akun Arlinst dan mencurigai akun tersebut sedang mencari sensasi, terlihat dari beberapa akun media sosial dan marketplace-nya,” jelas Pratama.
Pantauan terakhir, di Raid Forums data-data yang bocor ini sudah diunduh oleh sekitar 100 akun.
Untuk mengunduh sendiri, setiap akun harus memiliki minimal 8 kredit, yang setiap 30 kredit harus dibeli seharga 8 euro via PayPal.
Baca Juga: Jutaan Data DPT Bocor, Ini Respons KPU
Data KPU yang Bocor di Dark Web
Data Bersifat Terbuka
Sebelumnya, pihak KPU menaggapi kasus ini dengan menjelaskan bahwa data-data bersifat terbuka untuk public.
“Karena terbuka, bukan berarti tidak perlu dilindungi. Memang bukan informasi rahasia, tapi informasi yang perlu dilindungi minimal dienkripsi agar tidak sembarangan orang bisa memanfaatkan. Apalagi verifikasi data DPT hanya perlu data NIK, bukan semua data dijadikan satu apalagi tanpa pengamanan,” terang Pratama.
Pratama menambahkan bila data ini dikombinasikan dengan data Tokopedia dan Bukalapak yang lebih dulu terekspos, maka akan dihasilkan data yang cukup berbahaya dan bisa dimanfaatkan untuk kejahatan.
“Misalnya mengkombinasikan data telepon dari marketplace dengan data KTP dan KK, jelas ini sangat berbahaya,” ungkapnya.
Saran Mengaudit Sistem IT
Dalam kasus ini, Pratama juga melihat adanya kemungkinan data yang disebar memang sebelumnya sudah ada di publik.
"Karena data pemilu 2014 sudah lama tersebar di forum internet," cetusnya.
"Seluruh data DPT (Daftar Pemilih Tetap) ternyata juga di share ke beberapa stakeholder KPU. Tetapi kalau melihat isi folder DPT DIY (Daerah Istimewa Yogyakarta) yang ikut di-publish, sepertinya ada kemungkinan memang sang hacker bisa masuk ke sistem IT KPU atau sistem IT stakeholder KPU yang juga memiliki data ini.
Data KPU yang Bocor di Dark Web
Untuk memastikannya, harus segera dilakukan audit keamanan informasi atau audit digital forensik ke sistem IT KPU untuk menjawab isu kebocoran data ini.
Audit ini juga bisa menemukan sebab dan celah kebocoran sistem kalau memang ada. Karena kalau pelaku bisa masuk ke server KPU, ada kemungkinan tidak hanya DPT yang mereka ambil, tapi juga bisa mengakses hasil perhitungan Pemilu.
“Secara teknis kalau peretas bisa mencuri data, ada kemungkinan juga bisa merubah data. Sangat bahaya sekali apabila hasil pemungutan suara pemilu diubah angkanya,” pungkas Pratama.
Baca Juga: Penasaran Kapan Lebaran, Begini Cara Pantau Hilal Secara Online