CISSReC ungkap 3,2 miliar data PeduliLindungi bocor

Lembaga Riset Siber Indonesia CISSReC mengungkapkan dugaan 3,2 miliar data aplikasi PeduliLindungi bocor, bahkan Bjorka menjualnya dengan harga 100.000 dolar AS (Rp1,5 miliar) menggunakan mata uang Bitcoin.

"Data itu terbagi ke dalam data pengguna, data vaksinasi, riwayat pelacakan, serta riwayat check in pengguna aplikasi dengan memberikan sampel data," kata Ketua Lembaga Riset Siber Indonesia CISSReC Dr. Pratama Persadha melalui percakapan WhatsApp kepada ANTARA di Semarang, Selasa malam.

Dijelaskan pula bahwa kebocoran tersebut diunggah pada Selasa pagi oleh anggota forum situs breached.to dengan nama identitas Bjorka, yang memang sudah berjanji sebelumnya untuk bocorkan aplikasi PeduliLindungi ke publik setelah aplikasi MyPertamina.

Adapun data yang diunggah, yaitu nama, email, nomor induk kependudukan (NIK), nomor kartu tanda penduduk (KTP), nomor telepon, tanggal lahir, identitas perangkat, status COVID-19, riwayat check in, riwayat pelacakan kontak, vaksinasi, dan masih banyak data lainnya.

Data yang diklaim oleh Bjorka, kata Pratama, sebanyak 3.250.144.777 data dengan total ukuran mencapai 157 gigabita bila dalam keadaan tidak dikompres.

Disebutkan pula bahwa data sampelnya dibagi menjadi lima file, yaitu data pengguna sebanyak 94 juta, akun yang sudah disortir sebanyak 94 juta, data vaksinasi 209 juta, data riwayat check in 1,3 miliar, dan riwayat pelacakan kontak sebanyak 1,5 miliar.

Saat pengecekan apakah data ini valid menggunakan aplikasi pengecek nomor KTP, Pratama mengungkapkan bahwa data tersebut benar valid terdata di data kependudukan.

"Jika diperiksa lebih lanjut pada sampel datanya, ada banyak koordinat lokasi yang bertepatan dengan fitur check in PeduliLindungi di tempat-tempat publik," kata pakar keamanan siber ini.

Sampai saat ini, lanjut Pratama, sumber datanya masih belum jelas. Namun, soal asli atau tidaknya data ini hanya instansi yang terlibat dalam pembuatan aplikasi PeduliLindungi, yaitu Kominfo, Kementerian BUMN, Kemenkes, dan Telkom.

Pratama menyayangkan data yang sangat sensitif itu tidak maksimal pengamanannya, misalnya dengan melakukan enkripsi datanya.

Oleh karena itu, dia memandang penting melakukan audit dan investigasi forensik digital (digital forensic) guna memastikan kebocoran data ini dari mana.